Registrieren Anmelden
RegistrierenAnmelden
Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Breadcrumb-Navigation
Mit <kes>+ lesen

Vane Viper: DNS-Monster im Dienst der weltweiten Werbebetrugsmaschinerie : Ein AdTech-Unternehmen mit Milliardenanfragen am Tag verschleiert gezielt seine Rolle bei Malware-Kampagnen

Der Bedrohungsakteur Vane Viper generiert jährlich eine Billion DNS-Anfragen – und nutzt ein globales Geflecht aus kompromittierten Webseiten, Fake-Apps und AdTech-Firmen, um Malware zu verbreiten und Nutzer zu betrügen. Ein Blick hinter die Fassade eines komplexen Cyberbetrugsnetzwerks.

THN/Stefan Mutschler (freier Journalist)Security-Management
Lesezeit 3 Min.

Ein neuer Bericht von Infoblox, Guardio und Confiant zeigt: Der Bedrohungsakteur Vane Viper, auch als Omnatuor bekannt, betreibt kein gewöhnliches Malvertising-Netzwerk – er ist selbst ein AdTech-Anbieter mit Malware-Funktionalität. Der Akteur betreibt massive Infrastruktur für betrügerische Online-Werbung, Social-Engineering-Kampagnen und Schadsoftwareverbreitung. Durch millionenfache DNS-Anfragen, verschleierte Besitzstrukturen und kurzfristig aktive Domains bleibt er dabei weitgehend unter dem Radar.

1 Billion DNS-Anfragen im Jahr – auf Hälfte aller Netzwerke

Die Größenordnung ist erschreckend: Innerhalb eines Jahres verzeichnete Infoblox rund 1 Billion DNS-Anfragen, die auf die Infrastruktur von Vane Viper zurückzuführen sind – und das in etwa 50 Prozent der analysierten Kundennetzwerke. Die Angriffe erfolgen meist über infizierte Websites oder manipulierte Werbebanner, die auf schadhafte Inhalte weiterleiten.

Die Ziele reichen von gefälschten Online-Shops über betrügerische Umfragen bis hin zu Android-Malware wie Triada. Besonders gefährlich sind manipulierte Browser-Benachrichtigungen, die selbst dann noch aktiv sind, wenn die Webseite längst geschlossen wurde. Technisch setzt Vane Viper dafür sogenannte Service-Worker ein – permanente, im Hintergrund laufende Browserprozesse.

Infrastrukturen: Shell-Firmen, Push-Dienste und DNS-Fluten

Das Netzwerk von Vane Viper basiert auf einer Kombination aus kompromittierten WordPress-Seiten, betrügerischen AdTech-Firmen und einem Traffic Distribution System (TDS), das zielgerichtet Nutzer zu verschiedenenSchadkampagnen weiterleitet.

  • Zentrale Infrastrukturakteure: URL Solutions (auch bekannt als Pananames), Webzilla und XBT Holdings
  • Tarnfirmen und Tochtergesellschaften: Monetag, PropellerAds, AdTech Holding
  • Push Notification Services: ProPushMe, Notix, Adex – häufig genutzt für persistente Werbeanzeigen

Über diese Struktur werden Werbebanner, Browser-Erweiterungen und Apps verteilt, die Nutzerdaten abgreifen oder unerwünschte Inhalte nachladen. In einem Fall diente das Netzwerk sogar der Verbreitung russischer Desinformationskampagnen im Rahmen der Operation Doppelgänger.

60.000 Domains – aber nur für kurze Zeit

Die Infrastruktur ist auf maximale Verschleierung ausgelegt. Mehr als 60.000 Domains sollen seit 2023 im Einsatz gewesen sein – viele davon bleiben nur wenige Tage aktiv. Eine Ausnahme bilden langlebige Knotenpunkte wie:

  • omnatuor[.]com
  • propeller-tracking[.]com
  • mehrere Domains mit Bezug zu Push-Diensten

Allein im Oktober 2024 wurden über 3.500 neue Domains registriert – ein dramatischer Anstieg gegenüber April 2023, als nur rund 500 neue Domains erstellt wurden. Diese Domains machen fast die Hälfte aller Massenregistrierungen bei URL Solutions im Beobachtungszeitraum aus.

ClickFix, Phishing und betrügerische Apps

Die technische Vielseitigkeit von Vane Viper zeigt sich besonders in sogenannten ClickFix-Kampagnen: Über Werbebanner wird ein Pop-up erzeugt, das vermeintliche Sicherheitswarnungen anzeigt. Nutzer werden dazu gedrängt, Software zu installieren oder persönliche Daten einzugeben. Dabei kommen unter anderem gefälschte Browser-Updates, Android-Apps mit Hintertürfunktionen oder Schadsoftware-Downloads zum Einsatz.

Die Angriffe kombinieren bekannte Muster aus der Ad-Fraud-Welt mit typischer Social-Engineering-Taktik: Vertrauen schaffen, Zeitdruck erzeugen, Interaktion erzwingen.

PropellerAds – Werbenetzwerk oder Malwaredrehscheibe?

Im Zentrum vieler Aktivitäten steht PropellerAds, ein Unternehmen mit Sitz auf Zypern, das sich öffentlich als neutraler Vermittler zwischen Werbetreibenden und Publishern positioniert. Offiziell distanziert man sich von Malware: „Wir sind nichts weiter als ein automatisierter Vermittler, der Werbetreibenden hilft, die besten Publisher für ihre Anzeigen zu finden“, heißt es von Unternehmensseite. Und weiter: „Wir unterstützen, befürworten oder fördern keinerlei schädlichen Werbeanzeigen im eigenen Netzwerk“.

Doch technische Analysen sprechen eine andere Sprache: Infrastruktur von PropellerAds wurde in zahllosen Malvertising-Kampagnen nachgewiesen. Infoblox geht noch weiter: Vane Viper ist kein Angreifer hinter einer Plattform – sondern die Plattform selbst.

Missbrauch von AdTech-Funktionalitäten

Die Bedrohung durch Vane Viper resultiert nicht nur aus technischen Schwächen, sondern aus gezieltem Missbrauch von AdTech-Strukturen:

  • Traffic Brokering: Der Akteur vermittelt Zugriffe für Malware-Dropper, Phisher und Fake-App-Verteiler
  • Push-Benachrichtigungen: Persistente Werbung durch geänderte Browserrechte
  • Domain-Rotation: Schneller Domainwechsel, um Sperren zu umgehen
  • API-Missbrauch: TDS-Systeme erkennen Nutzerprofile und passen Angriffe dynamisch an

Hinzu kommt: Viele der Domains sind so konzipiert, dass sie bekannte Erkennungsmechanismen umgehen. Klassische Blacklists oder statische Indikatoren greifen hier kaum.

Was Unternehmen tun können

Die Bekämpfung dieser Art von Bedrohung erfordert eine Kombination aus DNS-Überwachung, Verhaltensanalyse und intelligenter Domainbewertung. Konkret empfiehlt sich:

  • Einsatz DNS-basierten Bedrohungsschutzes mit automatisierter Auswertung
  • Regelmäßige Analyse von Netzwerkverkehr auf verdächtige Anfragen
  • Nutzung von Threat-Intelligence-Feeds mit Fokus auf Domainrotation und TDS
  • Absicherung von Endpunkten gegen Push-Missbrauch und Browsermanipulation
  • Nutzung von SIEM/XDR zur Alarmkorrelation und Kontextbewertung

Zudem ist ein kritischer Blick auf eingesetzte Werbenetzwerke und deren Herkunft nötig – insbesondere bei Partnerprogrammen, Monetarisierungsdiensten oder Ad-Integrationen auf Unternehmenswebseiten.

Fazit: Tarnung durch Struktur – nicht durch Technik

Vane Viper zeigt, wie raffiniert moderne Angreifer technische Infrastruktur und legale Geschäftsmodelle kombinieren können, um sich der Verantwortung zu entziehen. Die Bedrohung liegt nicht nur im Code, sondern im Missbrauch ganzer Geschäftsmodelle. Unternehmen sind gut beraten, DNS-Traffic nicht länger nur als „Begleiterscheinung“ zu betrachten – sondern als Frühwarnsystem für versteckte Angriffsstrukturen.

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.