Thought Leadership
Wie aktuelle Analysen von Infoblox Threat Intel und Confiant zeigen, verlagert sich Cyberkriminalität zunehmend in schwer erkennbare Bereiche des Internets.
Im Fokus steht dabei der Missbrauch eines eigentlich legitimen Werkzeugs: eines weit verbreiteten Werbetracking-Systems, das von Angreifern gezielt zweckentfremdet wird.
Die Untersuchung macht deutlich, dass Cyberkriminelle ihre Aktivitäten immer häufiger hinter gewöhnlichem Web-Traffic verbergen. Mithilfe sogenannter Cloaking-Techniken erscheinen schädliche Inhalte für viele Nutzer und Sicherheitssysteme unauffällig oder sogar vertrauenswürdig. Tatsächlich werden über diese Tarnung jedoch Malware verbreitet oder Betrugsversuche gestartet.
Besonders auffällig ist, dass viele dieser Kampagnen mit vermeintlichen KI-Investitionsmöglichkeiten werben. Die Angebote wirken professionell und nutzen moderne Technologien wie generative KI oder Deepfakes, um Glaubwürdigkeit zu erzeugen und potenzielle Opfer zu täuschen.
Missbrauch bestehender Technologien statt eigener Infrastruktur
Ein zentrales Ergebnis der Studie ist, dass Angreifer immer seltener eigene technische Infrastrukturen aufbauen. Stattdessen greifen sie auf kommerzielle Tracking-Software zurück oder missbrauchen diese. Ein prominentes Beispiel ist das Tool Keitaro, das ursprünglich für Marketingzwecke entwickelt wurde.
Durch seine umfangreichen Funktionen, die einfache Implementierung und die Möglichkeit des Self-Hostings eignet sich die Software nicht nur für legitime Anwendungen, sondern auch für kriminelle Zwecke. Selbst ohne offizielle Unterstützung bestimmter Tarntechniken gelingt es Angreifern weiterhin, die Plattform für ihre Kampagnen zu nutzen.
Langzeitanalyse zeigt Ausmaß des Problems
Über einen Zeitraum von vier Monaten untersuchten die beteiligten Sicherheitsforscher die Nutzung solcher Systeme. Dabei identifizierten sie rund 15.500 aktive Instanzen, die für schädliche Zwecke eingesetzt wurden. Die Bandbreite reicht von Investmentbetrug bis hin zu Schadsoftware, die auf den Diebstahl sensibler Daten abzielt.
Die Verbreitung dieser Inhalte erfolgt über unterschiedliche Kanäle, darunter kompromittierte Webseiten, Spam-Kampagnen, soziale Netzwerke und digitale Werbeplattformen. Diese Vielschichtigkeit erschwert die Erkennung zusätzlich.
Cloaking als strategisches Werkzeug
Die Studie zeigt auch, dass Cloaking längst ein zentraler Bestandteil moderner Angriffsmethoden ist. Durch den gezielten Einsatz von Traffic-Distribution-Systemen können Inhalte je nach Zielgruppe unterschiedlich ausgespielt werden. So sehen beispielsweise Sicherheitsanalysten harmlose Inhalte, während tatsächliche Opfer auf betrügerische Seiten weitergeleitet werden.
Diese Technik dient nicht nur der Umgehung von Schutzmechanismen, sondern auch dazu, Angriffe effizient zu skalieren und gezielter auszurichten.
Ein komplexes Ökosystem im Hintergrund
Die Analyse kombiniert unterschiedliche Perspektiven: Während Confiant die Werbe- und Auslieferungsketten untersuchte, analysierte Infoblox vor allem DNS-basierte Bedrohungen sowie Inhalte aus Spam und kompromittierten Webseiten. Dadurch wurde deutlich, dass es sich nicht um einzelne isolierte Vorfälle handelt, sondern um ein weit verzweigtes und professionell organisiertes Ökosystem.
Eine Vertreterin von Infoblox betont, dass der Fokus nicht allein auf einem einzelnen Tool liegen sollte. Vielmehr sei es entscheidend zu verstehen, wie flexibel Cyberkriminelle vorhandene Technologien in ihre Angriffsstrategien integrieren.
Wachsende Bedeutung von KI im Betrug
Ein weiterer Trend ist der verstärkte Einsatz von künstlicher Intelligenz zur Erstellung von Inhalten. Texte, Bilder und Werbematerialien werden automatisiert generiert, um in großer Zahl täuschend echte Kampagnen zu erstellen. Besonders im Bereich vermeintlicher Finanz- und Investmentangebote zeigt sich, wie effektiv diese Methoden bereits sind.
Die Ergebnisse der Untersuchung verdeutlichen, dass Unternehmen und Nutzer gleichermaßen gefordert sind, ihre Sicherheitsstrategien anzupassen. Klassische Erkennungsmechanismen stoßen zunehmend an ihre Grenzen, wenn Angriffe gezielt verschleiert und über legitime Systeme abgewickelt werden.
