Facebook-Anzeigen als Falle : Neue JavaScript-Malware bedroht Krypto-Trader
Eine ausgeklügelte Malware-Kampagne nutzt gefälschte Krypto-Apps und Facebook-Anzeigen, um Nutzer in eine raffinierte Falle zu locken. Die Schadsoftware JSCEAL späht sensible Daten aus, tarnt sich geschickt und nutzt lokale Proxys, um Anmeldedaten in Echtzeit abzugreifen.
Eine aktuelle Analyse von Check Point zeigt, wie Angreifer gefälschte Krypto-Handelsplattformen einsetzen, um eine neue JavaScript-basierte Schadsoftware mit dem Namen JSCEAL zu verbreiten. Die Angriffe beginnen häufig mit gezielten Werbeanzeigen auf Facebook, die Nutzer auf vermeintlich seriöse Webseiten wie TradingView lenken. Diese Seiten sind jedoch nur Attrappen, die zur Installation manipulierten Programmcodes verleiten sollen.
Die Facebook-Anzeigen stammen dabei entweder von kompromittierten Konten oder von neu erstellten Fake-Accounts. Ziel ist es, möglichst viele Opfer auf manipulierte Webseiten umzuleiten, auf denen die Installation einer Schadsoftware in Gang gesetzt wird.
Mehrstufiger Infektionsmechanismus
Die Infektionskette ist modular aufgebaut und setzt sich aus mehreren ineinandergreifenden Komponenten zusammen. Dabei werden zentrale Funktionen gezielt in JavaScript-Dateien auf der manipulierten Webseite ausgelagert, um Analyseversuche zu erschweren. Die Malware JSCEAL wird in Form eines vorkompilierten V8-JavaScript-Codes ausgeliefert, was sie besonders schwer analysierbar macht.
Ein bemerkenswertes Detail: Die Schadsoftware funktioniert nur dann korrekt, wenn sowohl die bösartige Webseite als auch der lokale Installer parallel ausgeführt werden. Diese enge Verzahnung erschwert die Erkennung erheblich – ein gezielter Schutzmechanismus gegen klassische Sicherheitslösungen.
Technische Details der Malware
Beim Klick auf eine manipulierte Anzeige wird der Nutzer über eine mehrstufige Weiterleitung auf eine gefälschte Webseite geführt. Diese enthält mehrere JavaScript-Komponenten, darunter einen lokalen Kommunikationsmechanismus über Port 30303, der POST-Anfragen zwischen Webseite und Installer verarbeitet. Der Installer wiederum entpackt mehrere DLL-Bibliotheken und richtet lokale HTTP-Listener ein.
Über die DLL-Komponenten erfolgt ein umfassendes System-Fingerprinting. Erfasste Informationen wie Systemkonfigurationen, Browserdaten oder Telemetriedaten werden anschließend per PowerShell-Backdoor als JSON-Datei an die Angreifer übermittelt.
Vom Systemscan zur vollen Kontrolle
Erachtet das Analysesystem der Angreifer den betroffenen Rechner als „wertvoll“, wird der nächste Infektionsschritt eingeleitet: die Ausführung von JSCEAL über Node.js. Diese Schadsoftware richtet unter anderem einen lokalen Proxy ein, um den gesamten Webverkehr des Opfers zu überwachen und gezielt zu manipulieren. Besonders perfide: JSCEAL kann in Echtzeit in Banking- und Krypto-Seiten eingreifen und Anmeldedaten abgreifen, ohne dass der Nutzer etwas davon bemerkt.
Zu den weiteren Funktionen gehören:
- Erfassung von Systeminformationen, Cookies, Passwörtern und Telegram-Daten
- Screenshot- und Keylogging-Funktionen
- Man-in-the-Middle-Angriffe zur Wallet-Manipulation
- Nutzung als Fernzugriffstrojaner für vollständige Kontrolle
Tarnung durch JSC-Code
Was JSCEAL besonders gefährlich macht, ist die Kombination aus modularer Struktur, schwer analysierbarem Code und ausgeklügelter Tarnung. Durch den Einsatz vorkompilierter JavaScript-Dateien (JSC) gelingt es den Angreifern, ihre Schadsoftware weitgehend vor Antivirenprogrammen und Analysewerkzeugen zu verbergen.
Die Kampagne ist laut Erkenntnissen von Microsoft und WithSecure bereits seit März 2024 aktiv und wird fortlaufend weiterentwickelt. Die hohe Anpassungsfähigkeit sowie die Nutzung sozialer Netzwerke wie Facebook als Verbreitungskanal machen sie zu einer ernst zu nehmenden Bedrohung – besonders für Nutzer von Kryptowährungen.
Fazit: Neue Qualität digitaler Täuschung
Die Angriffe rund um JSCEAL zeigen, wie geschickt moderne Schadsoftware entwickelt wird, um sich in legitime Prozesse einzuschleusen und die volle Kontrolle über Systeme zu erlangen. Die Kombination aus sozialen Plattformen, gefälschten Krypto-Apps und schwer analysierbarem Code markiert eine neue Stufe der digitalen Täuschung – mit potenziell verheerenden Folgen für betroffene Nutzer.