Hacker verbreiten Krypto stehlende Malware über Facebook-Anzeigen

Hacker zielen auf Krypto-Nutzer ab, indem sie aggressive Windows 11 Update-Anzeigen auf Facebook schalten. 

Die gefälschten Anzeigen stehlen Krypto-Wallet-Seed-Phrasen, Login-Details und andere sensible Informationen. Darüber hinaus sammelt die Malware gespeicherte Passwörter und Browser-Sitzungen.

Hacker bewerben gefälschte Windows 11 Updates auf Facebook

Laut einem Malwarebytes-Bericht verwenden Hacker professionelles Microsoft-Branding, um das gefälschte Windows 11 Update zu bewerben. Sobald ein Opfer auf die Anzeige klickt, sieht es eine geklonte Microsoft-Website mit einem Domainnamen, der legitime Microsoft-Domains nachahmt.

Die Hacker nutzen Geofencing, eine Technik, die reguläre Nutzer anvisiert, die sich von zu Hause oder aus Büros verbinden, und IP-Adressen von Rechenzentren vermeidet. Dies geschieht, um zu verhindern, dass automatisierte Scanner den Angriff aufdecken.

Sobald das Opfer das Geofencing passiert, erhält es ein bösartiges Installationsprogramm, das auf GitHub gehostet und von einer sicheren Domain mit Sicherheitszertifikat heruntergeladen wird. Dies lässt den Angriff wie einen echten Microsoft-Download aussehen.

Das bösartige Installationsprogramm verfügt über einen Ausweichmechanismus, der nach virtuellen Maschinen und Analysetools sucht und die Ausführung stoppt, um eine Erkennung zu vermeiden. Auf dem Computer eines Opfers installiert sich die Malware jedoch und beginnt, das System zu infizieren.

Die Malware installiert ein echtes Framework in einem Ordner namens LunarApplication. Der Ordnername ähnelt einer Krypto-Tooling-Marke namens Lunar. Dies lässt die Malware für Krypto-Nutzer legitim erscheinen, aber in Wirklichkeit zielt sie auf Krypto-Wallet-Dateien und Seed-Phrasen ab und sendet die Daten an Hacker.  

Die bösartigen Facebook-Werbekampagnen laufen seit langer Zeit und haben durch ausgeklügelte Ausweichtechniken wie Geofencing eine Erkennung vermieden.

Krypto-Malware verbreitet sich über Social-Media-Anzeigen

Dies ist nicht das erste Mal, dass Krypto-Hacker Facebook-Anzeigen genutzt haben, um Krypto-Wallet-Daten zu stehlen. Letztes Jahr nutzten Hacker das jährliche Pi2Day-Event aus und starteten bösartige Facebook-Werbekampagnen, die auf Krypto-Nutzer abzielten. 

Das jährliche Pi2Day-Event wird von der Pi Network Community am 28. Juni gefeiert. Während des letzten Events starteten Hacker 140 gefälschte Anzeigen mit Pi Network-Branding. Opfer wurden auf Phishing-Websites umgeleitet, die kostenlose Pi-Token oder Airdrop-Events bewarben, jedoch im Austausch für die Wiederherstellungsphrase des Opfers. 

Der Phishing-Angriff zielte auf Opfer aus verschiedenen Regionen ab, darunter die USA, Europa, Australien, China und Indien. Er lockte Opfer durch andere Techniken an, einschließlich einfachem Pi-Token-Mining auf Smartphones. 

Im September letzten Jahres entdeckten Cybersicherheitsforscher einen weiteren auf Meta-Anzeigen basierenden Angriff, der kostenlosen Zugang zu TradingView Premium bewarb. Forscher von Bitdefender Labs stellten fest, dass sich der Angriff auf Google- und YouTube-Anzeigen ausbreitete.

Die Hacker kaperten ein verifiziertes YouTube-Konto und ein Google-Werbekonto und starteten gefälschte Anzeigen, um Opfer umzuleiten und ihre Informationen zu phishen. Der Missbrauch verifizierter YouTube-Konten lockt ahnungslose Opfer normalerweise auf bösartige Websites, die sich als legitime ausgeben.

Laut Bitdefender wurde eine der gefälschten Videoanzeigen mit dem Titel „Free TradingView Premium – Secret Method They Don't Want You to Know" in wenigen Tagen mehr als 182.000 Mal angesehen.

Die Videobeschreibung enthält einen Link zur bösartigen ausführbaren Datei. Sie verfügt über eine Ausweichtechnik, die dazu führt, dass der Nutzer eine harmlose Seite sieht, wenn die Angreifer ihn nicht als gültiges Ziel erkennen. Das Video war nicht gelistet, was es unsuchbar und schwierig macht, es Google zu melden.

Es gibt keinen öffentlichen Bericht, der den Gesamtbetrag der speziell durch gefälschte Anzeigen gestohlenen Kryptowährung isoliert. Laut Chainalysis-Daten gingen jedoch schätzungsweise 17 Milliarden US-Dollar im Jahr 2025 durch Krypto-Betrug verloren.

Infostealer-Malware betraf Millionen von Geräten und stahl im Jahr 2025 rund 1,8 Milliarden Anmeldedaten, so das Cybersicherheitsunternehmen DeepStrike. „Alles, was mit Geld verbunden ist, wie Online-Banking, PayPal, Kryptowährung-Wallets, wird von Cyberkriminellen offensichtlich geschätzt", heißt es in dem Bericht.

Treten Sie kostenlos für 30 Tage einer Premium-Krypto-Trading-Community bei - normalerweise 100 US-Dollar/Monat.