LONDON (IT BOLTWISE) – Eine neue Bedrohung im Bereich der Kryptowährungen sorgt für Aufsehen: Cyberkriminelle nutzen Facebook-Anzeigen, um gefälschte Handels-Apps zu verbreiten, die mit der gefährlichen JSCEAL-Malware infiziert sind.
Cybersecurity-Experten warnen vor einer neuen Welle von Angriffen, bei denen gefälschte Kryptowährungs-Apps über Facebook-Anzeigen verbreitet werden. Diese Apps sind mit einer gefährlichen Malware namens JSCEAL infiziert, die darauf abzielt, sensible Daten wie Anmeldedaten und Wallet-Informationen zu stehlen. Die Angreifer nutzen dabei eine Vielzahl von gefälschten Anzeigen, um ahnungslose Nutzer auf betrügerische Websites zu locken, die die Installation der schädlichen Apps anleiten.
Die Kampagne, die von der israelischen Sicherheitsfirma Check Point analysiert wurde, zeigt eine ausgeklügelte Vorgehensweise der Angreifer. Sie trennen die Funktionalität des Installationsprogramms in verschiedene Komponenten auf und verlagern einige Funktionen in JavaScript-Dateien innerhalb der infizierten Websites. Diese modulare und mehrschichtige Infektionskette ermöglicht es den Angreifern, ihre Taktiken und Nutzlasten in jeder Phase des Angriffs anzupassen.
Bereits im April 2025 hatte Microsoft einige Aspekte dieser Aktivitäten dokumentiert, und die finnische Sicherheitsfirma WithSecure verfolgt die Kampagne unter dem Namen WEEVILPROXY. Die Angriffe sind seit März 2024 aktiv und verwenden neuartige Anti-Analyse-Mechanismen, die auf skriptbasierter Fingerabdruckerkennung basieren, bevor die endgültige JSCEAL-Nutzlast ausgeliefert wird.
Ein bemerkenswertes Merkmal dieser Angriffe ist die Notwendigkeit, dass sowohl die bösartige Website als auch das Installationsprogramm parallel laufen müssen, um erfolgreich zu sein. Dies erschwert die Analyse und Erkennung erheblich. Wenn ein Nutzer auf einen Link in den Facebook-Anzeigen klickt, wird eine Umleitungskette ausgelöst, die das Opfer schließlich auf eine gefälschte Zielseite führt, die einen legitimen Dienst wie TradingView imitiert.
Die gefälschte Website enthält ein JavaScript, das versucht, mit einem lokalen Server auf Port 30303 zu kommunizieren. Darüber hinaus werden zwei weitere JavaScript-Skripte gehostet, die den Installationsprozess verfolgen und POST-Anfragen initiieren, die von den Komponenten innerhalb des MSI-Installationsprogramms verarbeitet werden. Das Installationsprogramm entpackt mehrere DLL-Bibliotheken und startet gleichzeitig HTTP-Listener auf localhost:30303, um eingehende POST-Anfragen von der gefälschten Website zu verarbeiten.
Um den Verdacht des Opfers nicht zu erregen, öffnet das Installationsprogramm eine Webansicht mit msedge_proxy.exe, um das Opfer auf die legitime Website der Anwendung zu leiten. Die DLL-Module sind darauf ausgelegt, die POST-Anfragen von der Website zu analysieren, Systeminformationen zu sammeln und den Fingerabdruckprozess zu starten. Die erfassten Informationen werden dann in Form einer JSON-Datei über eine PowerShell-Hintertür an den Angreifer exfiltriert.
Wenn der Host des Opfers als wertvoll erachtet wird, geht die Infektionskette in die Endphase über, die zur Ausführung der JSCEAL-Malware führt, indem Node.js genutzt wird. Die Malware stellt Verbindungen zu einem Remote-Server her, um weitere Anweisungen zu erhalten, und richtet einen lokalen Proxy ein, um den Webverkehr des Opfers abzufangen und bösartige Skripte in Banking-, Kryptowährungs- und andere sensible Websites einzuschleusen, um deren Anmeldedaten in Echtzeit zu stehlen.
JSCEAL kann auch Systeminformationen, Browser-Cookies, Auto-Fill-Passwörter, Telegram-Kontodaten, Screenshots und Tastenanschläge sammeln sowie Adversary-in-the-Middle (AitM)-Angriffe durchführen und Kryptowährungs-Wallets manipulieren. Die Malware kann auch als Remote-Access-Trojaner fungieren. Diese hochentwickelte Malware ist darauf ausgelegt, die vollständige Kontrolle über den Rechner des Opfers zu erlangen und sich gleichzeitig gegen konventionelle Sicherheitswerkzeuge zu behaupten.
- Die besten Bücher rund um KI & Robotik!
- Die besten KI-News kostenlos per eMail erhalten!
- Zur Startseite von IT BOLTWISE® für aktuelle KI-News!
- IT BOLTWISE® kostenlos auf Patreon unterstützen!
- Aktuelle KI-Jobs auf StepStone finden und bewerben!
Stellenangebote
Duales Studium BWL - Spezialisierung Artificial Intelligence (B.A.) am Campus oder virtuell
Junior Projektmanager Frontend & KI-Lösungen (m/w/d)
Duales Studium BWL - Spezialisierung Artificial Intelligence (B.A.) am Campus oder virtuell
Duales Studium BWL - Spezialisierung Artificial Intelligence (B.A.) am Campus oder virtuell
- Die Zukunft von Mensch und MaschineIm neuen Buch des renommierten Zukunftsforschers und Technologie-Visionärs Ray Kurzweil wird eine faszinierende Vision der kommenden Jahre und Jahrzehnte entworfen – eine Welt, die von KI durchdrungen sein wird
- Künstliche Intelligenz: Expertenwissen gegen Hysterie Der renommierte Gehirnforscher, Psychiater und Bestseller-Autor Manfred Spitzer ist ein ausgewiesener Experte für neuronale Netze, auf denen KI aufbaut
- Obwohl Künstliche Intelligenz (KI) derzeit in aller Munde ist, setzen bislang nur wenige Unternehmen die Technologie wirklich erfolgreich ein
- Wie funktioniert Künstliche Intelligenz (KI) und gibt es Parallelen zum menschlichen Gehirn? Was sind die Gemeinsamkeiten von natürlicher und künstlicher Intelligenz, und was die Unterschiede? Ist das Gehirn nichts anderes als ein biologischer Computer? Was sind Neuronale Netze und wie kann der Begriff Deep Learning einfach erklärt werden?Seit der kognitiven Revolution Mitte des letzten Jahrhunderts sind KI und Hirnforschung eng miteinander verflochten
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "Gefälschte Krypto-Apps verbreiten gefährliche Malware über Facebook-Anzeigen" für unsere Leser?
#Sophos
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "Gefälschte Krypto-Apps verbreiten gefährliche Malware über Facebook-Anzeigen" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.
Nutze die Google-Suchmaschine für eine weitere Themenrecherche: »Gefälschte Krypto-Apps verbreiten gefährliche Malware über Facebook-Anzeigen« bei Google Deutschland suchen, bei Bing oder Google News!