Hacker verbreiten Malware zum Diebstahl von Kryptowährungen über Facebook-Anzeigen

Hacker zielen auf Krypto-Nutzer ab, indem sie aggressive Windows 11-Update-Anzeigen auf Facebook schalten. 

Die gefälschten Anzeigen stehlen Seed-Phrasen von Krypto-Wallets, Anmeldedaten und andere sensible Informationen. Darüber hinaus sammelt die Schadsoftware gespeicherte Passwörter und Browsersitzungen.

Hacker verbreiten gefälschte Windows 11-Updates auf Facebook

Laut einem Bericht nutzen Hacker das professionelle Branding von Microsoft, um ein gefälschtes Windows-11-Update zu verbreiten. Sobald ein Opfer auf die Anzeige klickt, gelangt es auf eine geklonte Microsoft-Website mit einem Domainnamen, der legitimen Microsoft-Domains täuschend ähnlich sieht.

Die Hacker nutzen Geofencing, eine Technik, die sich an normale Nutzer richtet, die sich von zu Hause oder vom Büro aus verbinden, und dabei IP-Adressen von Rechenzentren ausschließt. Dies dient dazu, zu verhindern, dass automatisierte Scanner den Angriff aufdecken.

Sobald das Opfer die Geofencing-Zone passiert hat, erhält es ein schädliches Installationsprogramm, das auf GitHub gehostet und von einer sicheren Domain mit Sicherheitszertifikat heruntergeladen wird. Dadurch sieht der Angriff wie ein legitimer Microsoft-Download aus.

Das schädliche Installationsprogramm verfügt über einen Tarnmechanismus, der virtuelle Maschinen und Analysetools erkennt und die Ausführung stoppt, um einer Entdeckung zu entgehen. Auf dem Computer des Opfers installiert sich die Schadsoftware jedoch und beginnt, das System zu infizieren.

Die Schadsoftware installiert ein echtes Framework in einem Ordner namens LunarApplication. Der Ordnername ähnelt dem einer Krypto-Tooling-Marke namens Lunar. Dadurch wirkt die Schadsoftware für Krypto-Nutzer legitim, tatsächlich zielt sie jedoch auf Krypto-Wallet- Dateien und Seed-Phrasen ab und sendet die Daten an Hacker.

Die bösartigen Facebook-Werbekampagnen laufen schon seit langer Zeit und konnten durch ausgeklügelte Verschleierungstechniken wie Geofencing bisher unentdeckt bleiben.

Krypto-Malware verbreitet sich über Social-Media-Anzeigen

Es ist nicht das erste Mal, dass Krypto-Hacker Facebook-Anzeigen nutzen, um Daten von Krypto-Wallets zu stehlen. Letztes Jahr nutzten Hacker den jährlichen Pi2Day-Event aus und starteten bösartige Facebook-Werbekampagnen, die sich gezielt an Krypto-Nutzer richteten. 

Die Pi Network-Community feiert jedes Jahr am 28. Juni den Pi2Day. Beim letzten Event schalteten Hacker 140 gefälschte Anzeigen im Pi Network-Design. Die Opfer wurden auf Phishing-Webseiten weitergeleitet, die kostenlose Pi-Token oder Airdrop-Aktionen versprachen – im Austausch für die Wiederherstellungsphrase der Opfer. 

Der Phishing-Angriff zielte auf Opfer in verschiedenen Regionen ab, darunter die USA, Europa, Australien, China und Indien. Die Opfer wurden mit verschiedenen Methoden angelockt, unter anderem durch das vermeintlich einfache Schürfen von Pi-Token auf Smartphones. 

Im September des vergangenen Jahres entdeckten Cybersicherheitsforscher einen weiteren Angriff über Metaanzeigen, der den kostenlosen Zugang zu TradingView Premium bewarb. Forscher von Bitdefender Labs stellten fest , dass sich der Angriff auch auf Google- und YouTube-Anzeigen ausbreitete.

Die Hacker kaperten einen verifizierten YouTube-Account und einen Google-Werbeaccount und schalteten gefälschte Anzeigen, um Opfer auf betrügerische Webseiten umzuleiten und deren Daten zu stehlen. Der Missbrauch verifizierter YouTube-Accounts lockt ahnungslose Opfer in der Regel auf schädliche Webseiten, die sich als seriöse Seiten ausgeben.

Laut Bitdefender wurde eine der gefälschten Videoanzeigen mit dem Titel „Kostenloses TradingView Premium – Geheime Methode, die man Ihnen verschweigt“ innerhalb weniger Tage mehr als 182.000 Mal angesehen.

Die Videobeschreibung enthält einen Link zur schädlichen ausführbaren Datei. Sie verwendet eine Ausweichtechnik, die dem Nutzer eine harmlose Seite anzeigt, sofern die Angreifer ihn nicht als legitimes Ziel erkennen. Das Video war nicht gelistet, wodurch es nicht auffindbar und schwer an Google .

Es gibt keinen öffentlich zugänglichen Bericht, der die Gesamtsumme der durch gefälschte Anzeigen gestohlenen Kryptowährungen ausweist. Laut Daten von Chainalysis werden die Verluste durch Kryptobetrug im Jahr 2025 jedoch auf schätzungsweise 17 Milliarden US-Dollar beziffert.

infizierte die Infostealer-Malware Millionen von Geräten und stahl im Jahr 2025 rund 1,8 Milliarden dent . „Alles, was mit Geld zu tun hat – sei es Online-Banking, PayPal oder Kryptowährungs-Wallets – ist für Cyberkriminelle natürlich begehrt“, heißt es in dem Bericht.

Treten Sie einer Premium- Kryptohandels- Community 30 Tage lang kostenlos bei – normalerweise 100 $/Monat.