Thought Leadership
15.500 Fake-Seiten nutzen das Marketing-Tool Keitaro, um Opfer gezielt in KI-Investment-Fallen zu locken.
Cybersicherheitsexperten von Infoblox Threat Intel haben eine weitreichende Betrugsoperation aufgedeckt, die die Grenzen zwischen professionellem Marketing und organisierter Kriminalität verschwimmen lässt. In einem Zeitraum von nur vier Monaten wurden etwa 15.500 Domains identifiziert, die ein legitimes Werbe-Tracking-Tool missbrauchen, um Nutzer weltweit in betrügerische Investment-Schemata zu locken. Besonders markant ist dabei der Einsatz von Künstlicher Intelligenz sowohl als Köder für die Opfer als auch als Werkzeug zur massenhaften Erstellung von Inhalten.
Präzise Filterung durch Cloaking-Techniken
Das Herzstück der Kampagne ist die Werbe-Tracking-Plattform Keitaro. Ursprünglich für digitales Marketing und die Optimierung von Anzeigenkampagnen entwickelt, bietet das Tool Funktionen zur Verkehrsverteilung (Traffic Distribution System, TDS). Hacker nutzen diese Funktionen nun für das sogenannte „Cloaking“. Dabei wird jedem Besucher der Website ein digitales Profil zugewiesen, um zu entscheiden, welche Inhalte angezeigt werden.
Sicherheits-Bots, automatisierte Scanner von Werbeplattformen oder IT-Forscher werden gezielt auf harmlose Platzhalter-Seiten oder generische Blogs umgeleitet. Erfüllt ein Besucher jedoch das Profil eines „idealen Opfers“, das auf Faktoren wie IP-Adresse, Standort, Browsertyp und Klickverhalten basiert, wird er unmittelbar auf die eigentliche Betrugsseite weitergeleitet. Diese millisekundenschnelle Analyse macht es für Sicherheitssoftware extrem schwierig, die schädliche Natur der Webseiten zu erkennen und zu blockieren.
KI als Verkaufsargument und Produktionswerkzeug
Die Betrüger setzen auf das aktuelle Interesse an Künstlicher Intelligenz. Die Werbeanzeigen in sozialen Netzwerken versprechen oft „fortschrittliche KI-Trading-Plattformen“ oder „intelligente Algorithmen“, die angeblich garantierte Gewinne am Kryptomarkt oder beim Aktienhandel erzielen. In vielen Fällen werden diese Versprechen durch Deepfake-Videos von Prominenten oder gefälschte Nachrichtenartikel untermauert, um die Glaubwürdigkeit zu steigern.
Gleichzeitig nutzt die Gruppe generative KI, um die Skalierung der Kampagne zu bewältigen. Schlagzeilen, Werbetexte und Grafiken für die tausenden von Landingpages werden automatisiert erstellt. Dies ermöglicht es den Tätern, in kürzester Zeit neue Kampagnen in verschiedenen Sprachen und für unterschiedliche Zielgruppen auszurollen. Während die Kampagnen global agieren, liegt der Schwerpunkt der Inhalte vorwiegend auf Englisch und Russisch, wobei ein besonderer Fokus auf Nutzer in den Vereinigten Staaten gelegt wird.
Vom Krypto-Diebstahl bis zum SMS-Betrug
Die Forscher von Infoblox identifizierten zwei Hauptzweige der Betrugsaktivitäten, die über die Keitaro-Infrastruktur abgewickelt werden. Zum einen handelt es sich um klassische Investment-Scams, bei denen Nutzer zur Einzahlung von Geldern auf Fake-Plattformen bewegt werden. Etwa 96 % des über Spam verbreiteten Verkehrs in diesem Bereich zielte auf sogenannte „Wallet-Drainer“ ab. Das sind bösartige Skripte, die Krypto-Wallets (insbesondere Solana- und Phantom-Wallets) leer räumen, sobald der Nutzer eine Transaktion bestätigt.
Ein zweiter, technisch raffinierterer Zweig ist der internationale Umsatzbeteiligungsbetrug (International Revenue Share Fraud, IRSF). Hierbei landen die Opfer auf Seiten mit gefälschten CAPTCHAs. Um zu „beweisen, dass sie ein Mensch sind“, werden die Nutzer aufgefordert, eine SMS zu senden. Im Hintergrund löst das JavaScript der Seite den Versand von bis zu 60 internationalen SMS an Premium-Nummern in Ländern mit hohen Terminierungsgebühren (wie Aserbaidschan oder Kasachstan) aus. Die Kosten für die Opfer belaufen sich oft auf rund 30 US-Dollar pro Sitzung, die erst Wochen später auf der Telefonrechnung erscheinen.
Hacker können innerhalb von Minuten neue Instanzen hochfahren
Keitaro ist ein selbstgehostetes Tool, was bedeutet, dass die Software auf eigenen Servern der Kriminellen installiert werden kann. Dies erschwert eine zentrale Kontrolle durch den Hersteller Apliteni. Dennoch betonen die Forscher, dass das Unternehmen hinter Keitaro kooperativ auf Missbrauchsmeldungen reagiert. Seit Beginn der Untersuchung im August 2025 wurden über hundert gemeldete Konten zügig gesperrt.
Das Problem liegt jedoch in der schieren Masse: Da die Software einfach zu installieren ist und auch illegale Kopien (Cracks) im Umlauf sind, können Angreifer innerhalb von Minuten neue Instanzen auf verschiedenen Hosting-Plattformen hochfahren. Der Bericht stellt klar, dass Keitaro lediglich ein Werkzeug in einem größeren Ökosystem ist, das von Cyberkriminellen zweckentfremdet wird, ähnlich wie legitime Cloud-Dienste oder Werbenetzwerke.
Schutzmaßnahmen vor Fake-Seiten
Sicherheitsexperten raten dazu, bei unaufgeforderten Investmentangeboten, die mit „KI-Vorteilen“ werben, äußerste Vorsicht walten zu lassen. Da die Kampagnen gezielt Sicherheitsfilter umgehen, bieten technische Lösungen wie Adblocker oder Anti-Malware-Tools zwar einen Basisschutz, können aber keine vollständige Sicherheit garantieren.
Entscheidend ist das Bewusstsein für die Mechanismen des Social Engineerings. Nutzer sollten darauf achten, ob sie zur Preisgabe von Kontaktdaten oder zum Versand von Bestätigungs-SMS auf unbekannten Seiten aufgefordert werden. Die Verifizierung von Handelsplattformen über offizielle Register und das Ignorieren von impulsiven Angeboten in sozialen Medien bleiben die effektivsten Verteidigungsstrategien gegen diese Form des automatisierten Betrugs.
