Gefälschte Krypto-Apps verbreiten gefährliche Malware über Facebook-Anzeigen

LONDON (IT BOLTWISE) – Eine neue Bedrohung im Bereich der Kryptowährungen sorgt für Aufsehen: Cyberkriminelle nutzen Facebook-Anzeigen, um gefälschte Handels-Apps zu verbreiten, die mit der gefährlichen JSCEAL-Malware infiziert sind.

Cybersecurity-Experten warnen vor einer neuen Welle von Angriffen, bei denen gefälschte Kryptowährungs-Apps über Facebook-Anzeigen verbreitet werden. Diese Apps sind mit einer gefährlichen Malware namens JSCEAL infiziert, die darauf abzielt, sensible Daten wie Anmeldedaten und Wallet-Informationen zu stehlen. Die Angreifer nutzen dabei eine Vielzahl von gefälschten Anzeigen, um ahnungslose Nutzer auf betrügerische Websites zu locken, die die Installation der schädlichen Apps anleiten.

Die Kampagne, die von der israelischen Sicherheitsfirma Check Point analysiert wurde, zeigt eine ausgeklügelte Vorgehensweise der Angreifer. Sie trennen die Funktionalität des Installationsprogramms in verschiedene Komponenten auf und verlagern einige Funktionen in JavaScript-Dateien innerhalb der infizierten Websites. Diese modulare und mehrschichtige Infektionskette ermöglicht es den Angreifern, ihre Taktiken und Nutzlasten in jeder Phase des Angriffs anzupassen.

Bereits im April 2025 hatte Microsoft einige Aspekte dieser Aktivitäten dokumentiert, und die finnische Sicherheitsfirma WithSecure verfolgt die Kampagne unter dem Namen WEEVILPROXY. Die Angriffe sind seit März 2024 aktiv und verwenden neuartige Anti-Analyse-Mechanismen, die auf skriptbasierter Fingerabdruckerkennung basieren, bevor die endgültige JSCEAL-Nutzlast ausgeliefert wird.

Ein bemerkenswertes Merkmal dieser Angriffe ist die Notwendigkeit, dass sowohl die bösartige Website als auch das Installationsprogramm parallel laufen müssen, um erfolgreich zu sein. Dies erschwert die Analyse und Erkennung erheblich. Wenn ein Nutzer auf einen Link in den Facebook-Anzeigen klickt, wird eine Umleitungskette ausgelöst, die das Opfer schließlich auf eine gefälschte Zielseite führt, die einen legitimen Dienst wie TradingView imitiert.

Die gefälschte Website enthält ein JavaScript, das versucht, mit einem lokalen Server auf Port 30303 zu kommunizieren. Darüber hinaus werden zwei weitere JavaScript-Skripte gehostet, die den Installationsprozess verfolgen und POST-Anfragen initiieren, die von den Komponenten innerhalb des MSI-Installationsprogramms verarbeitet werden. Das Installationsprogramm entpackt mehrere DLL-Bibliotheken und startet gleichzeitig HTTP-Listener auf localhost:30303, um eingehende POST-Anfragen von der gefälschten Website zu verarbeiten.

Um den Verdacht des Opfers nicht zu erregen, öffnet das Installationsprogramm eine Webansicht mit msedge_proxy.exe, um das Opfer auf die legitime Website der Anwendung zu leiten. Die DLL-Module sind darauf ausgelegt, die POST-Anfragen von der Website zu analysieren, Systeminformationen zu sammeln und den Fingerabdruckprozess zu starten. Die erfassten Informationen werden dann in Form einer JSON-Datei über eine PowerShell-Hintertür an den Angreifer exfiltriert.

Wenn der Host des Opfers als wertvoll erachtet wird, geht die Infektionskette in die Endphase über, die zur Ausführung der JSCEAL-Malware führt, indem Node.js genutzt wird. Die Malware stellt Verbindungen zu einem Remote-Server her, um weitere Anweisungen zu erhalten, und richtet einen lokalen Proxy ein, um den Webverkehr des Opfers abzufangen und bösartige Skripte in Banking-, Kryptowährungs- und andere sensible Websites einzuschleusen, um deren Anmeldedaten in Echtzeit zu stehlen.

JSCEAL kann auch Systeminformationen, Browser-Cookies, Auto-Fill-Passwörter, Telegram-Kontodaten, Screenshots und Tastenanschläge sammeln sowie Adversary-in-the-Middle (AitM)-Angriffe durchführen und Kryptowährungs-Wallets manipulieren. Die Malware kann auch als Remote-Access-Trojaner fungieren. Diese hochentwickelte Malware ist darauf ausgelegt, die vollständige Kontrolle über den Rechner des Opfers zu erlangen und sich gleichzeitig gegen konventionelle Sicherheitswerkzeuge zu behaupten.

Bestseller Nr. 1 ᵃ⤻ᶻ «KI Gadgets»

Apple AirTag - Finde und behalte Deine Sachen im Blick: Schlüssel, Geldbörsen, Gepäck, Rucksäcke und mehr. Einfaches Einrichten mit iPhone oder iPad. Austauschbare Batterie

30,99 EUR

Bestseller Nr. 2 ᵃ⤻ᶻ «KI Gadgets»

Mobvoi TicNote KI Digitales Diktiergerät, 64 GB Speicher, Notizrekorder mit Hülle, App-Steuerung, über 100 Sprachen, Transkribieren, Zusammenfassen mit AI Shadow,digitaler Audiorekorder Sprachrekorder

169,99 EUR

Bestseller Nr. 3 ᵃ⤻ᶻ «KI Gadgets»

Plaud Note KI Digitales Diktiergerät mit Hülle - 64 GB Aufnahmegerät mit KI-Technologie zum Transkribieren und Zusammenfassen, One-Touch-Aufnahme, Rauschunterdrückung, Unterstützt 112 Sprachen

169,90 EUR

Bestseller Nr. 4 ᵃ⤻ᶻ «KI Gadgets»

Plaud NotePin Sprachrekorder, KI-Sprachrekorder, App-Steuerung, KI-Notizgerät, KI-Transkription & Zusammenfassung, 112 Sprachen, 64GB Speicher, Audiorekorder für Vorlesungen, Meetings, Kosmisches Grau

169,90 EUR

Bestseller Nr. 5 ᵃ⤻ᶻ «KI Gadgets»

SOXOI KI Digitales Diktiergerät, 64GB Magnet Mini Aufnahmegerä mit ChatGPT 4o vom Transkribieren und Zusammenfassen für 102 Sprachen,One Touch Aufnahme, Voice Recorder Sprachrecorder (Schwarz)

89,99 EUR

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!