Domains vermitteln Glaubwürdigkeit. Genau das macht sie für Angreifer attraktiv: Sie nutzen seriöse oder täuschend echte Domains für Spam, Phishing oder die Verbreitung von Malware. Nach Angaben der US-Behörde CISA sind über 90 Prozent aller Cyberangriffe mit einem Domain-Namen und somit mit dem DNS verbunden. Zwischen Januar und März 2025 identifizierte Infoblox 6,5 Millionen verdächtige Domains, knapp 250.000 dieser Domains wurden später als bösartig eingestuft

Morphing Meerkat – Phishing-as-a-Service

Ein besonders raffiniertes Beispiel für DNS-Missbrauch ist der Bedrohungsakteur Morphing Meerkat. Dabei handelt es sich um eine Phishing-as-a-Service-Plattform (PhaaS), die über 100 bekannte Marken imitiert – auf Basis dynamisch abgefragter DNS-Mail-Exchange-Records.

Erkennt das Phishing-Kit anhand der DNS-Daten, welchen Mail-Provider ein Opfer nutzt, wird in Echtzeit eine gefälschte Login-Seite generiert, die dem Original-Login-Portal täuschend ähnlich sieht (inklusive Sprachanpassung und späterer Weiterleitung auf das echte Portal, um Misstrauen zu vermeiden). Die Opfer merken nichts – bis es zu spät ist.

Besonders perfide: Morphing Meerkat nutzt bestehende DNS-Infrastrukturen und verwendet eine sogenannte „Living-off-the-Land“-Technik. Dabei werden vorhandene Systeme und Konfigurationen zweckentfremdet, um nicht aufzufallen. Der modulare Charakter ermöglicht auch technisch weniger versierten Angreifern groß angelegte Kampagnen mit hoher Erfolgsquote.

Lumma Stealer & Vane Viper – Phishing in Reinform

Ebenfalls am Werk: der Infostealer Lumma. Dabei handelt es sich um eine groß angelegte Fake-Captcha-Kampagne, die die bösartige Infostealer-Malware Lumma unter Umgehung gängiger Sicherheitsmaßnahmen wie Safe Browsing verbreitet. Guardio Labs hat diese Kampagne aufgedeckt und analysiert. Sie stützt sich bei ihrer Verbreitung ausschließlich auf ein einziges Werbenetzwerk und dient als Paradebeispiel für Malvertising.

Über ein Netzwerk von mehr als 3.000 Websites, die den Datenverkehr umleiten, werden täglich mehr als eine Million Werbeeinblendungen versandt. Tausende von Nutzern wurden so um ihre Kontodaten und ihr Geld gebracht. Gemeinsam mit Infoblox konnte die Kampagne bis zu Monetag zurückverfolgt werden, einem Teil des PropellerAds-Netzwerks. Dieses wurde zuvor von Infoblox Threat Intel unter dem Namen Vane Viper aufgespürt – durch eine detaillierte Analyse von Umleitungsketten, Verschleierungsskripten und Traffic Distribution Systems (TDS).

Die Stealer-Malware zielt auf die Konten in sozialen Netzwerken, Bankdaten, Passwörter und persönlichen Dateien der Nutzer ab. Eine Reihe von Klicks, die bestätigen, dass der Nutzer ein Mensch ist, löst den „Ausführen“-Dialog auf dem Windows-System aus. Ohne es zu wissen, fügen die Opfer einen raffiniert gestalteten PowerShell-Befehl hinzu und führen ihn aus. Bösartig und effektiv – Malvertising par excellence.

Malicious Adtech – Der böse Zwilling der Werbung

Seit Jahren betreiben organisierte kriminelle Gruppen wie VexTrio Viper ihre eigenen TDS-Systeme – unabhängig von Plattformen wie Google AdSense. Über ein großes Netzwerk an Tochtergesellschaften sind sie in der Lage, Nutzer verschiedener Plattformen auf bösartige Inhalte aller Art zu lenken – von Betrug bis hin zu Stealer-Malware. Auf diese Weise können sie die richtigen Inhalte an die passende Zielgruppe liefern und dabei unentdeckt bleiben. VexTrio Viper ist seit 2015 aktiv, hat mehr als 80.000 einzigartige Domains registriert und verwendet Dictionary DGAs, wobei Hunderte von Domains pro Tag ausgetauscht werden.

An Adtech sind drei Hauptakteure beteiligt: Publisher, Werbetreibende und Betreiber. Publisher besitzen in der Regel eine Website mit Inhalten, die für ein bestimmtes Publikum interessant sind. Sie versuchen, ihre Online-Plattform zu monetarisieren. Werbetreibende nutzen verschiedene Werbeinhalte wie Bannerwerbung, Videos oder gesponserte Artikel, um die Aufmerksamkeit potenzieller Käufer zu gewinnen. Dabei sind sie stets darauf bedacht, die richtige Zielgruppe für ihre beworbenen Dienstleistungen oder Produkte zu erreichen.

Betreiber wie Google fungieren als Vermittler zwischen Werbetreibenden und Publishern. Sie ermöglichen es Publishern, ihre Website zu registrieren, und Werbetreibenden, digitale Anzeigen direkt auf der Online-Präsenz der Publisher zu schalten. Die Betreiber nehmen die Zahlungen der Werbetreibenden entgegen und bezahlen die Publisher. Zudem stellen die Betreiber den Werbetreibenden Tools zur Verfügung, mit denen sie die richtigen Webseiten für ihre Zielgruppen finden können.

Bösartige Adtech funktioniert auf die gleiche Weise. Publisher – manchmal auch Affiliates genannt – bieten einem Betreiber ihre kompromittierten Websites an und erlauben diesem, die Opfer an einen bösartigen Werbetreibenden weiterzuleiten. Manchmal kompromittieren die Publisher selbst die Websites. Im Mittelpunkt dieses Prozesses steht ein vom Betreiber geschaffenes System zur Verteilung des Datenverkehrs (TDS). Es verfügt über fortschrittliche Funktionen wie Browser-Profiling, Fake-Seiten zur Irreführung von Scan-Tools und Tarn-Dienste zum Schutz der bösartigen Domains.

Konfigurationsfehler: Der unterschätzte Angriffsvektor

Auch interne Schwachstellen bergen Gefahren. So nutzte ein großes Botnet Fehlkonfigurationen in DNS-E-Mail-Einträgen aus. Mit diesen wird bestätigt, welche Rechner E-Mails im Namen der Organisation versenden können. In diesem Botnet waren insgesamt über 13.000 kompromittierte MikroTik-Router enthalten. Die gefährliche Kombination aus Botnetz und fehlkonfiguriertem DNS-Eintrag ermöglichte es dem Angreifer, endlose Spam-Nachrichten an Nutzer zu senden und der Kontrolle durch den empfangenden Mail-Server zu entgehen.

Fazit: Sichtbarkeit & DNS-Kompetenz sind entscheidend

Ob Phishing-Kits wie Morphing Meerkat, ungenutzte CNAME-Einträge, bösartige Werbeinfrastrukturen oder „Konfigurationsfehler“ – das DNS bleibt ein wichtiges Instrument in der heutigen Cyber-Bedrohungslandschaft. Wer diesen Bereich in seiner Sicherheitsstrategie vernachlässigt, riskiert Angriffe erst dann zu bemerken, wenn sensible Daten bereits nach außen gedrungen sind oder Systeme kompromittiert wurden.

Bedrohungsakteure agieren schnell, automatisiert und sind klassischen Sicherheitslösungen oft einen Schritt voraus. DNS-basierte Schutzmechanismen ermöglichen es jedoch, viele Angriffe bereits vor der tatsächlichen Interaktion mit einer potenziell schädlichen Infrastruktur zu erkennen und zu blockieren. Eine fundierte DNS-Analyse kann verdächtige Domains frühzeitig aufdecken, bevor sie in bösartigen Kampagnen verwendet werden.

Organisationen, die DNS Intelligence aktiv in ihre Abwehrmaßnahmen integrieren, schaffen eine zusätzliche Verteidigungslinie und stärken ihre Fähigkeit, proaktiv statt reaktiv auf Bedrohungen zu reagieren.

Dr. Renée Burton

Ist Head of Threat Intel bei Infoblox.