Hackerangriff kompromittiert fast 150.000 Webseiten – Weiterleitung auf Glücksspiel-Seiten

von Editiert von Angela Burke Veröffentlicht am: 28.03.2025. Aktualisiert am: 28.03.2025.

  • 150.000 Webseiten leiten Nutzer heimlich auf chinesische Glücksspiel- und Casino-Seiten weiter
  • Hacker tarnen ihre Angriffe mit gefälschten Logos und verstecktem Code
  • Auch ältere Hackerkampagne nutzt manipulierte WordPress-Seiten für Betrugslinks
Code auf einem Bildschirm.

Hacker haben fast 150.000 legitime Webseiten mit schädlichem JavaScript-Code infiziert – Weiterleitung auf Glücksspiel-Seiten. © Pixabay/Pixabay

Schadcode breitet sich weiter aus

Laut gbhackers [Link auf Englisch] habe eine breit angelegte Cyberkampagne rund 150.000 legitime Webseiten mit schädlichem JavaScript-Code infiziert, um chinesischsprachige Glücksspiel-Plattformen zu bewerben.

Die Angreifer sollen für den noch immer andauernden Angriff sogenannte iframe-Injektionen nutzen. Diese würden Besuchern eine täuschend echt wirkende Vollbild-Overlay-Seite anzeigen, die legitime Anbieter wie Bet365 imitiere.

Wie verdienen Hacker mit solchen Angriffen Geld?

Angriffe wie dieser haben meist ein klares Ziel: Profit durch Weiterleitungen. Die Hacker schleusen Code auf fremde Webseiten ein, der Besucher automatisch auf andere Seiten lenkt – meist, ohne dass diese es merken. Diese Seiten sind oft illegale Glücksspielangebote oder Fake-Shops. Für jeden Besucher, der auf einer solchen Seite landet (und dort vielleicht Geld ausgibt), bekommen die Hacker eine Provision – ähnlich wie bei legalem Affiliate-Marketing.

Zusätzlich nutzen viele kriminelle Hacker sogenannte Traffic-Broker-Netzwerke. Das sind Plattformen, die Web-Traffic bündeln und an die Meistbietenden verkaufen – auch wenn dieser Traffic aus betrügerischen Quellen stammt. Wer dort bezahlt, bekommt Besucher geliefert, die aus solchen Angriffen stammen.

Kurz gesagt: Je mehr Menschen auf manipulierte Webseiten gelockt werden, desto mehr Geld verdienen die Angreifer – meist auf Kosten der Nutzer.

Laut eines Sicherheitsanalysten sei die Kampagne bereits im Februar 2025 mit rund 35.000 infizierten Seiten entdeckt worden, habe sich jedoch seither massiv ausgeweitet. Statistiken zufolge seien aktuell über 135.800 infizierte Domains nachweisbar.

Angreifer nutzen ausgeklügelte Technik für Weiterleitungen auf Glücksspiel-Seiten

Die Täter würden ihren Schadcode mit HTML-Entitäten und hexadezimaler Kodierung verschleiern und ihn auf bestimmten Domains hosten. Das bedeutet: Der Schadcode werde so umgeschrieben, dass er auf den ersten Blick wie harmloser Text aussehe – für Menschen kaum erkennbar, aber vom Browser weiterhin ausführbar.

Dieser Angriff zeigt, wie sich maligne Akteure ständig anpassen, ihre Reichweite vergrößern und neue Verschleierungsmöglichkeiten nutzen. Client-seitige Angriffe wie diese sind auf dem Vormarsch, und jeden Tag werden mehr und mehr Fälle entdeckt.”Himanshu Anand, Security-Analyst bei c/side, The Hacker News

Ziel sei es, insbesondere Nutzer in China, Hongkong und den USA auf illegitime Glücksspiel-Seiten weiterzuleiten. Die JavaScript-Payload erkenne dabei mobile Browser und passe Darstellung sowie Weiterleitungen dynamisch an – teils durch Keyword-Erkennung.

Einige Varianten der Kampagne würden zusätzlich auf nachgeahmte Markenauftritte bekannter Anbieter setzen, um Authentizität vorzutäuschen – etwa durch die Nutzung offizieller Logos von Bet365.

Parallelangriff DollyWay seit Jahren aktiv

Parallel zur aktuellen Kampagne sei auch eine zweite Angriffswelle namens DollyWay World Domination aktiv, die laut GoDaddy bereits seit 2016 laufe und über 20.000 Webseiten infiziert habe. So berichtet The Hacker News [Link auf Englisch]. Im Fokus stünden vor allem WordPress-Seiten, bei denen die Angreifer manipulierte PHP-Plugins einschleusten.

Die Schadsoftware schalte gezielt Sicherheitsfunktionen aus, entferne Admin-Konten und stehle echte Zugangsdaten. Besucher der betroffenen Seiten würden dann über ein Netzwerk aus gehackten Webseiten – sogenannte Traffic Direction Systems (TDS) – auf betrügerische Seiten des kriminellen Netzwerks VexTrio umgeleitet. Teilweise würden die Täter dabei Geld über Werbenetzwerke wie PropellerAds verdienen.

VexTrio sei bekannt dafür, unter anderem Casino-Inhalte, Malware und betrügerische Angebote zu verbreiten. Webseitenbetreibern werde dringend geraten, regelmäßig ihre Seiten zu überprüfen, auffällige Weiterleitungen zu entfernen und Sicherheitsvorkehrungen wie sogenannte Content Security Policies einzurichten – denn Hackerangriffe kommen im iGaming-Bereich immer wieder vor, zum Beispiel bei stake.com oder bei Evolution.

Ähnliche Beiträge