DoubleClick-Missbrauch: Hacker nutzen Googles Netzwerk für Malware – eine neue Bedrohung für Unternehmen

LGR Reutlingen – 06 Juni 2026 | Eine neue Malware-Kampagne sorgt für Aufsehen in der Sicherheitsbranche: Hacker nutzen Googles vertrauenswürdiges Werbenetzwerk DoubleClick, um Schadsoftware zu verbreiten und Sicherheitsfilter auszutricksen. Der DoubleClick-Missbrauch Hacker nutzen Googles Netzwerk für Malware ist nach Angaben von Sicherheitsforschern der Firma Huntress, die den aktuellen Report am Samstag veröffentlichten, Teil eines wachsenden Trends: Immer mehr Angreifer setzen auf legitime Cloud- und Werbedienste, um ihre Attacken zu tarnen.

Die Angriffsstrategie ist raffiniert und mehrstufig. Alles beginnt mit einer harmlos wirkenden E-Mail. Im Anhang befindet sich eine HTML-Datei mit dem Namen „Bestellung2026.html“. Öffnet das Opfer diese Datei, leitet ein unsichtbarer Meta-Refresh die Verbindung innerhalb von Sekundenbruchteilen auf eine legitime Google-DoubleClick-URL (ad.doubleclick.net) um. Da der Datenverkehr über vertraute Infrastruktur läuft, schlagen die automatischen Sicherheitsfilter der E-Mail-Programme nicht Alarm. Der DoubleClick-Missbrauch Hacker nutzen Googles Netzwerk für Malware zeigt, wie schwer es für Sicherheitslösungen ist, bösartigen Traffic zu identifizieren, wenn er über offizielle Kanäle geleitet wird.

Personalisierte Fallen für jedes Opfer

Die Täter gehen noch einen Schritt weiter: Sie personalisieren die Betrugsseiten dynamisch. Dienste wie Clearbit, logo.dev und Google Favicons laden automatisch das Logo und die Marke der E-Mail-Domain des Opfers. In manchen Fällen wird sogar der Standort des Anwenders eingeblendet – abgefragt über dessen IP-Adresse. Klickt das Opfer auf den vermeintlichen Download-Button für ein PDF, wird ein ZIP-Archiv ausgeliefert. Darin versteckt sich ein JScript-Dropper, der eine mehrstufige Infektionskette in Gang setzt.

Die technische Umsetzung ist komplex: Der JScript-Dropper startet einen PowerShell-Stager, der wiederum einen .NET-Lader herunterlädt. Dieser Lader ist speziell für Heimlichkeit und Persistenz optimiert. Die Malware manipuliert zentrale Sicherheitsfunktionen von Windows: Sie patcht die Antimalware Scan Interface (AMSI) und das Event Tracing for Windows (ETW) – beides Kernkomponenten der Abwehr. Besonders perfide: Die Umgehungstechniken zielen gezielt auf Windows 11 24H2 ab. Zudem wird der Microsoft Defender deaktiviert und bestimmte Laufwerke werden von der Überwachung ausgeschlossen.

Den finalen Schadcode schleusen die Angreifer per Process Hollowing ein – einer Methode, bei der legitime Microsoft-Prozesse wie InstallUtil.exe oder MSBuild.exe gekapert werden. Um dauerhaft im System zu bleiben, nutzen die Hacker NVIDIA-getarnte Run-Keys und geplante Tasks, die alle acht bis elf Minuten ausgeführt werden. Die Kommunikation mit den Steuerungsservern läuft über den TCP-Port 7211. Der DoubleClick-Missbrauch Hacker nutzen Googles Netzwerk für Malware ist damit ein Paradebeispiel für die Professionalisierung der Cyberkriminalität.

Ein wachsender Trend: Missbrauch vertrauenswürdiger Dienste

Die DoubleClick-Kampagne ist kein Einzelfall. Sicherheitsexperten beobachten einen besorgniserregenden Trend: Immer mehr Angreifer nutzen legitime Cloud- und Werbe-Tools für ihre Zwecke. Erst Anfang der Woche wurde bekannt, dass die Gruppe PCPJack über 230 Server bei Amazon Web Services, Google Cloud und Azure gekapert hat. Die Hacker bauten damit ein verdecktes SMTP-Relay-Netzwerk für groß angelegte Phishing-Aktionen auf. Auch eine neuartige Magecart-Kampagne, die seit Ende 2025 aktiv ist, missbraucht die Stripe-API und den Google Tag Manager. Die Angreifer verstecken JavaScript-Skimmer in Stripe-Kundendaten, um Kreditkarteninformationen zu stehlen.

Die Zahlen des ersten Quartals 2026 sprechen eine deutliche Sprache: Lader-basierte Angriffe haben sich nahezu verdoppelt. Die Zeit von der ersten Infektion bis zur dauerhaften Übernahme des Systems beträgt bei schnellen Kampagnen mitunter nur 21 Sekunden. Besonders betroffen sind Unternehmen und Banken. Erst am 25. Mai 2026 erbeuteten Betrüger mit gefälschten Google-Anzeigen für die Kryptoplattform Uniswap mehr als 400.000 Euro. Parallel dazu warnt die Silent Ransom Group (auch bekannt als UNC3753) Anwaltskanzleien und Banken. Die Gruppe gibt sich telefonisch als IT-Support aus oder schickt sogar falsche Techniker persönlich vorbei, um Daten per USB-Stick zu stehlen. Der Datenabfluss beginnt oft schon innerhalb einer Stunde nach dem ersten Kontakt.

Für Unternehmen bedeutet dies: Der DoubleClick-Missbrauch Hacker nutzen Googles Netzwerk für Malware ist mehr als nur ein Einzelfall – er ist symptomatisch für eine Entwicklung, bei der Angreifer immer stärker auf vertrauenswürdige Infrastruktur setzen. Sicherheitsverantwortliche müssen ihre Abwehrstrategien anpassen, denn herkömmliche Filter reichen nicht mehr aus. Es gilt, den Datenverkehr auch dann kritisch zu prüfen, wenn er von scheinbar legitimen Quellen wie Google DoubleClick stammt. Die Täter sind längst einen Schritt voraus – und sie nutzen jede Lücke.