Auf den Punkt: Angreifer leiten Malware-Zugriffe über Googles DoubleClick-Domain, um von deren Vertrauenswürdigkeit zu profitieren und Sicherheitstools zu täuschen.
Sicherheitsforscher haben eine Malspam-Kampagne dokumentiert, die die Google-eigene Domain DoubleClick nutzt, um Sicherheitskontrollen zu umgehen und die Remote-Access-Trojaner DesckVB RAT auszuliefern. Das Verfahren nutzt die Vertrauenswürdigkeit einer legitimen Google-Domain aus.
Cybersecurity-Forscher haben eine neue Malspam-Kampagne identifiziert, die Googles DoubleClick-Domain missbraucht. Ziel ist es, Sicherheitsmechanismen zu umgehen und anschließend die Remote-Access-Trojaner-Malware DesckVB RAT auf Zielsystemen zu installieren.
Der Angriffsablauf nutzt eine Umleitung über DoubleClick: Opfer werden zunächst auf die legitime, von Google betriebene DoubleClick-Domain geleitet, bevor der Zugriff auf attacker-kontrollierte Infrastruktur weitergeleitet wird. Da DoubleClick eine etablierte Google-Domain ist, bewerten viele Sicherheitswerkzeuge den Datenverkehr während dieser Phase als vertrauenswürdig und lassen ihn passieren.
Dieser Ansatz ist eine Variante der sogenannten „Living-off-the-Land“-Technik: Angreifer nutzen legitime, vertraute Dienste als Zwischenstation, um ihre Malware-Infrastruktur vor Detektion zu schützen. Die Routing-Struktur erschwert es sowohl Perimeter-Sicherheitslösungen als auch E-Mail-Filtern, die Kampagne zu blockieren.
CISOs sollten DoubleClick bei der Evaluierung von Sandbox- und Threat-Intelligence-Systemen als Falsch-Negativ-Quelle berücksichtigen und HTTP-Redirect-Verkehr verdächtiger Quellen näher überprüfen.
Quelle: thehackernews.com · Erschienen 3. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.2.9.