Im digitalen Zeitalter hat sich das Werbe-Ökosystem zu einem komplexen Geflecht aus Technologie, Daten und Netzwerken entwickelt. Dabei konnte eine Schattenwirtschaft gedeihen, die zwielichtige technische Praktiken nutzt, um Nutzer zu täuschen, persönlichen Schaden anzurichten und massive Gewinne zu generieren. Insbesondere eine jüngere Entwicklung ist besorgniserregend: der Einsatz gefälschter CAPTCHA-Anfragen, die als Tor in ein undurchsichtiges System von betrügerischen Werbediensten und Malwarevertrieb dienen. Diese Praktiken schüren eine dunkle Adtech-Industrie, die weltweit für erhebliche Sicherheitsprobleme sorgt und sogar politische Desinformationskampagnen vorantreibt. Die Entdeckung der sogenannten Doppelgänger-Kampagnen im November 2024 legte ein erschreckendes Netzwerk offen, welches raffinierte „Domain Cloaking“-Techniken benutzt, um gefälschte Nachrichten und propagandistische Inhalte unentdeckt zu verbreiten.
Die betroffenen Seiten verwenden Domain-Kaskaden und Tricks, bei denen Suchmaschinen andere Inhalte sehen als reguläre Besucher. Dadurch können Fälschungen über längere Zeit online bleiben und gezielt bestimmte Zielgruppen ansprechen. Diese technologische Raffinesse ist Teil eines viel größeren Netzwerks, das sowohl aus legitimen als auch aus kriminellen Werbeplattformen besteht, wobei der Schwerpunkt klar auf Manipulation und Betrug liegt. Eines der zentralen Elemente in diesem dunklen Ökosystem ist VexTrio, eines der ältesten bekannten Traffic Distribution Systeme (TDS), das nicht nur natürliche Websitebesucher lenkt, sondern vorwiegend Opfer von Phishing-Angriffen, Malware und Social-Engineering-Tricks umleitet. VexTrio verwaltet dabei massive Mengen an Web-Traffic, der über gehackte WordPress-Seiten und gefälschte Werbelinks gelenkt wird.
Kernstücke dieser Infrastruktur sind die Co-Branding-Netzwerke LosPollos und TacoLoco, zwei Werbeplattformen, die mit täuschenden Methoden Nutzer auf unseriöse Webseiten lenken. LosPollos etwa hat sich inspiriert von populärer Popkultur, namentlich der Serie „Breaking Bad“, ein Branding geschaffen, das wohl als Tarnung und zur Verschleierung dient. Affiliates dieser Netzwerke erhalten „Smartlinks“, JavaScript-lastige Verknüpfungen, mit denen gehackte Seiten Traffic in das TDS von VexTrio leiten. Als Gegenleistung erhalten sie kleine Provisionen, wenn Nutzer auf betrügerische Lockangebote hereinfallen, die von Fake-Dating-Portalen über Abofallen bis hin zu Schadsoftware-Verbreitungen reichen. TacoLoco wiederum ist berüchtigt für seine Manipulation von „Push-Benachrichtigungen“.
Diese Funktion, eigentlich für nützliche Updates und Kommunikation konzipiert, wird hier missbraucht, indem Nutzer mit falschen CAPTCHA-Herausforderungen zum Zulassen von Benachrichtigungen verleitet werden. Diese gefälschten CAPTCHAs dienen als Tarnung, um Nutzer dazu zu bringen, diese Pop-ups zu aktivieren, die ihnen anschließend eine Vielzahl irreführender Viruswarnungen und betrügerischer Nachrichten auf ihrem Gerät anzeigen. Viele betroffene Surfer ahnen nicht, dass sie damit den Einstieg in einen Angriffspfad zulassen. Die Tragweite des Problems zeigt ein Bericht von GoDaddy aus dem Jahr 2024: Nahezu 40 Prozent aller gehackten Websites leiten Besucher unwissentlich über LosPollos-Smartlinks an VexTrio weiter. Das verdeutlicht, wie tiefgreifend und umfassend diese Netzwerke im Netz bereits verankert sind.
Verbindungen führen zu Adspro Group, einem Unternehmen mit Registrierungen in Tschechien und Russland, das die Infrastruktur über Schweizer Hosting-Anbieter wie C41 und Teknology SA betreibt. Die verantwortlichen Firmen hinter LosPollos und TacoLoco sind eng verbunden mit weiteren Unternehmen wie ByteCore AG und SkyForge Digital AG – allesamt im Herzen der Schweiz angesiedelt und offenbar unter der Leitung von Giulio Vittorio Leonardo Cerutti. Trotz zahlreicher Anschuldigungen und Untersuchungen bestreitet Cerutti energisch, in Verbindung mit den betrügerischen Aktivitäten von VexTrio zu stehen. Interessanterweise nutzen die Betreiber dieser Netzwerke Apps, die sie selbst vertreiben, darunter diverse VPN-Dienste und eine App namens Spamshield, die sich als Lösung gegen unerwünschte Push-Benachrichtigungen vermarktet. Untersuchungen haben allerdings gezeigt, dass Spamshield selbst entlarvendes Verhalten zeigt und Nutzer mit verdeckten Zahlungsforderungen konfrontiert.
Auf Druck der Sicherheitscommunity haben LosPollos und Adspro im Laufe der letzten Monate ihre Aktivitäten zurückgefahren oder im Fall von Adspro sogar eine Rebranding-Strategie unter dem Namen Aimed Global gestartet. Dennoch bleibt die Frage offen, wie eng die verschiedenen Gruppen in dem Netzwerk miteinander verflochten sind. Zudem sind weitere Domain-Traffic-Distribution-Dienste identifiziert worden, die ähnliche Methoden verwenden und einen klaren russischen Hintergrund aufweisen. Namen wie Partners House, BroPush, RichAds und RexPush tauchen in dieser dunklen Adtech-Welt immer wieder auf und fungieren als Partner-Programme, die überwiegend dubiose Online-Datingseiten über Push-Benachrichtigungen monetarisieren. Die Sicherheitsbranche tendiert dazu, solche TDS-Netzwerke als „grauzonige“ Bedrohungen zu klassifizieren, da sie oft mit vergleichsweise harmlosen Bedrohungen wie Adware und Scareware in Verbindung gebracht werden.
Dabei wird jedoch häufig übersehen, dass diese Plattformen der Zugang zu viel ernsteren Schadprogrammen bieten, etwa Informationsdiebstahl, Finanzbetrug und großangelegte Kampagnen, die Verbrauchern weltweit Milliarden kosten. Mit Blick auf diese komplexen und gut organisierten Systeme hebt sich die Rolle russischer Cyberkriminalitätsgruppen hervor, die offenbar maßgebliche Kontrolle über diese schattigen Adtech-Netzwerke besitzen und koordinieren. Die Erkenntnisse verdeutlichen die strategische Dimension solcher Operationen, die weit über reine Werbe- oder Klickbetrugsmodelle hinausgehen. Für den normalen Internetnutzer stellt sich die Frage, wie man sich gegen diese Unsicherheiten und Täuschungen schützen kann. Eine der wichtigsten Maßnahmen ist es, bei Web-Browser-Benachrichtigungen sehr zurückhaltend zu sein.
Die meisten Browser bieten inzwischen Einstellungen, um Benachrichtigungsanfragen ganz oder teilweise zu blockieren. Wer alle Anfragen pauschal ablehnt, minimiert sein Risiko erheblich, ungewollt in solche Fallen zu tappen. Darüber hinaus helfen technische Lösungen wie Script-Blocker, Adblocker oder Netzwerkfilter (z.B. Pi-hole oder spezialisierte DNS-Dienste), unerwünschte Skripte und manipulierte Push-Benachrichtigungen zu erkennen und zu unterbinden.
Besonders wichtig ist außerdem das Bewusstsein des Nutzers: Man sollte niemals ungefragt auf „Erlauben“ klicken, wenn man nicht eindeutig den Ursprung der Anfrage kennt und sicher ist dass diese legitim ist. Die vermehrte Verwendung gefälschter CAPTCHAs, die eigentlich nur als Schutzmechanismus gegen Bots gedacht sind, zeigt exemplarisch, wie Sicherheitsfunktionen im Web missbraucht werden können. Reale CAPTCHAs verlangen niemals nach der Erlaubnis für Push-Benachrichtigungen. Das Erkennen solcher Unterschiede kann helfen, Scams frühzeitig zu identifizieren. Abschließend lässt sich sagen, dass die aufgedeckten dubiosen Adtech-Strukturen nicht nur ein Ärgernis für Netznutzer sind, sondern eine ernsthafte Bedrohung für die Integrität der digitalen Kommunikation und Sicherheit darstellen.
Der Kampf gegen diese Systeme erfordert sowohl technologische Gegenmaßnahmen als auch ein Grundverständnis der Funktionsweisen und Methoden, die von den Akteuren genutzt werden. Nur so kann das Internet für alle sicherer und vertrauenswürdiger werden.
![I solved the LA protests [video]](/images/3CE4DF84-A5AA-4C03-A83F-4232D87B4A16)
![I'm going to calculate π on the Moon [video]](/images/2D25E931-C454-4858-BD3B-4439C3A669F9)