Sicherheitsforscher und Bundesbehörden schlagen Alarm: Eine neue Welle von Cyberangriffen nutzt Googles eigene Dienste als Waffe. Die Täter kapern legitime Infrastruktur – von Werbelinks bis zu Cloud-Speichern – und dringen sogar persönlich in Büros ein.
Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam gegen psychologische Manipulationstaktiken schützen kann. In 4 Schritten zur erfolgreichen Hacker-Abwehr
„Silent Ransom Group“: Wenn der Angreifer persönlich kommt
Die Silent Ransom Group (SRG) – auch bekannt als UNC3753 oder Luna Moth – hat es gezielt auf US-Kanzleien und Finanzdienstleister abgesehen. Google Threat Intelligence und das FBI warnen gemeinsam vor der Gruppe, die seit Frühjahr 2023 aktiv ist. Allein zwischen Januar und Mai 2026 griffen die Hacker Dutzende Organisationen an.
Ihre Methode ist ungewöhnlich: Per Vishing (Voice-Phishing) geben sich die Angreifer als IT-Support-Mitarbeiter aus. Sie locken ihre Opfer mit angeblichen Rechnungsproblemen oder technischen Störungen. Das Ziel: Die Installation von Fernwartungs-Tools wie AnyDesk, Bomgar oder Zoho Assist.
Doch damit nicht genug. In mehreren vom FBI bestätigten Fällen schickte die Gruppe sogar Komplizen persönlich in die Büros der Opfer. Verkleidet als IT-Techniker verschaffen sie sich Zugang zu Hardware oder schleusen Malware über USB-Sticks ein.
Der gesamte Angriff – vom ersten Anruf bis zur Erpressung – dauert laut Mandiant oft nur einen einzigen Arbeitstag. In einem dokumentierten Fall erbeuteten die Täter 1,7 GB und 14,4 GB Daten, luden sie über WinSCP und Rclone auf Google Drive hoch und forderten nur 30 Minuten später Lösegeld. Die Frist: drei Tage.
Werbelinks als Einfallstor: Die DoubleClick-Masche
Eine völlig andere Angriffslinie entdeckten Forscher von Huntress Anfang Juni. Sie nutzt Googles DoubleClick-Werbeplattform – eigentlich ein seriöses System – um Sicherheitsfilter zu umgehen.
Die Attacke beginnt mit einem harmlos wirkenden HTML-Anhang namens „Bestellung_2026.html“. Darin verstecken sich legitime DoubleClick-URLs, die Nutzer auf dynamische Phishing-Seiten umleiten. Die Infektionskette ist mehrstufig: Über JScript und PowerShell wird ein .NET-basierter Schädling geladen.
Besonders perfide: Die Malware tarnt sich als NVIDIA-Softwarekomponente und nutzt „Process Hollowing“ – eine Technik, bei der Schadcode in legitime Microsoft-Programme eingeschleust wird. Die Kommunikation mit den Steuerungs-Servern läuft über TCP-Port 7211. Die Angreifer legen zudem gezielt die Windows-Sicherheitsfunktionen AMSI und ETW lahm.
Immer mehr Unternehmen werden Opfer von gezielten Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie Sicherheitslücken proaktiv schließen und Ihr Unternehmen langfristig schützen. Gratis-Report für IT-Sicherheit jetzt herunterladen
Entwickler im Visier: Gefälschte Copyright-Klagen
Parallel dazu warnen Branchenkenner vor einer Kampagne gegen Chrome-Entwickler. Hacker verschicken gefälschte Abmahnungen, die angeblich vom Chrome Web Store stammen. Die Nachrichten fordern eine Antwort binnen 48 Stunden und locken auf eine betrügerische Login-Seite unter dmca-chrome-extensions[.]click.
Auch Microsoft schlägt Alarm: Nutzer erhalten fingierte Google-Cloud-Speicher-Warnungen. Die Mails behaupten, 250 GB Speicherplatz stünden vor der Löschung – ein Trick, um Opfer auf manipulierte Seiten zu locken. Microsoft rät: Nie Links in E-Mails folgen, sondern direkt beim Dienstanbieter einloggen.
Polyfill.io: Alte Domain, neue Gefahr
Seit dem 5. Juni melden auch Toshiba und Muji verdächtige Login-Prompt auf ihren Webseiten. Auslöser ist die Domain polyfill[.]io, die bereits 2024 kompromittiert wurde. Ende Mai reaktivierten Unbekannte die Seite – nun löst sie HTTP-401-Authentifizierungsanfragen aus, die bei Besuchern unerwartete Pop-ups öffnen.
Betroffen sind neben den japanischen Herstellern auch Samsung-Smart-TV-Nutzer und mehrere Verlage. Bislang gibt es keine bestätigten Datendiebstähle – doch die Sicherheitslücke bleibt offen.
