Gefälschte Krypto-Börsen-Anzeigen auf Facebook verbreiten Malware

Bitdefender deckt Facebook-Werbebetrug auf, bei dem gefälschte Krypto-Sites und Prominente als Köder verwendet werden, um Malware über bösartige Desktop-Clients und PowerShell-Skripte zu verbreiten.

Wie Sicherheitsforscher von Bitdefender heute enthüllten, nutzt eine hartnäckige Malware-Kampagne das Werbenetzwerk von Facebook, um Kryptowährungs-Enthusiasten ins Visier zu nehmen.

Die Operation nutzt die vertrauenswürdigen Namen großer Kryptowährungsbörsen wie Binance und TradingView sowie Bilder von Prominenten wie Elon Musk und Zendaya in Facebook-Anzeigen, um den gefälschten Werbeaktionen der Kryptowährungsbörsen Glaubwürdigkeit zu verleihen und ahnungslose Benutzer zum Herunterladen schädlicher Software zu verleiten.

Die Untersuchung von Bitdefender, die Hackread.com vor ihrer Veröffentlichung zur Verfügung gestellt wurde, ergab einen mehrschichtigen Angriff, bei dem Malware über einen verdeckten Kommunikationskanal zwischen der Website und dem Computer des Opfers übertragen wird.

Laut Forschern kapern Cyberkriminelle Facebook-Konten oder erstellen gefälschte Konten, um irreführende Anzeigen zu schalten, die schnelle finanzielle Gewinne oder Krypto-Boni versprechen. Durch das Anklicken dieser Anzeigen werden die Opfer auf überzeugende, aber betrügerische Websites umgeleitet, die legitime Kryptowährungsplattformen imitieren und sie zum Herunterladen eines „Desktop-Clients“ auffordern.

Beim Herunterladen legt der Desktop-Client eine schädliche DLL-Datei ab, die einen lokalen .NET -basierten Server auf dem Rechner des Opfers startet. Dieser Server fungiert als verstecktes C2-Center. Das Frontend der gefälschten Website enthält ein entschlüsseltes Skript, das mit dem Server kommuniziert, WMI-Anfragen (Windows Management Instrumentation) sendet und ihn anweist, weitere schädliche Payloads auszuführen.

Im letzten Schritt werden häufig mehrere verschlüsselte PowerShell-Skripte ausgeführt, die zusätzliche Malware von Remote-Servern herunterladen. Darüber hinaus implementieren die Angreifer erweiterte Anti-Sandbox-Prüfungen, um sicherzustellen, dass die Malware nur an Benutzer ausgeliefert wird, die bestimmten demografischen und verhaltensbezogenen Profilen entsprechen, die von den Cyberkriminellen als wertvoll erachtet werden.

Bitdefender-Forscher Ionut Baltariu betonte, dass Nutzern ohne spezifische Facebook-Werbetracking-Parameter, nicht bei Facebook angemeldeten Nutzern oder Nutzern mit uninteressanten IP-Adressen oder Betriebssystemen stattdessen harmlose Inhalte angezeigt werden. Dieser gezielte Ansatz ermöglicht es den Angreifern, ihre Wirkung zu maximieren und gleichzeitig die Gefährdung durch Sicherheitsanalysen zu minimieren.

Das Ausmaß der Operation ist beachtlich, da Forscher Hunderte von Facebook-Konten identifiziert haben, die diese bösartigen Seiten aktiv bewerben. In einem Fall wurden auf einer einzigen Seite innerhalb von nur 24 Stunden über 100 Anzeigen geschaltet.

Facebook entfernt diese betrügerischen Anzeigen zwar häufig, doch viele davon werden erst nach Tausenden von Aufrufen gelöscht. Die Zielgruppenausrichtung ist oft präzise, ​​beispielsweise in einem Fall, in dem Männer ab 18 Jahren in Bulgarien und der Slowakei gezielt angesprochen wurden.

Um die Täuschung noch weiter zu verstärken, haben die Angreifer sogar gefälschte Facebook-Seiten erstellt, die die offiziellen Seiten von Plattformen wie TradingView perfekt widerspiegeln – inklusive erfundener Beiträge und Kommentare, die für gefälschte Werbegeschenke werben. Die in diesen gefälschten Seiten eingebetteten Links führen jedoch direkt zu den Malware-verbreitenden Websites.

Die anhaltende Rolle von Facebook als Vektor für die Verbreitung von Malware ist schwer zu übersehen, wie frühere Erkenntnisse zeigen, darunter die heutige Entdeckung von Morphisec, die zeigt, dass Cyberkriminelle irreführende Facebook-Anzeigen verwendet haben, die für gefälschte KI-Plattformen werben, um den neuen Noodlophile Stealer zu verbreiten.

Es zeigt auch, wie Cyberkriminelle die Reichweite und Werbemöglichkeiten der Plattform für böswillige Zwecke ausnutzen, und unterstreicht die Notwendigkeit der Wachsamkeit der Benutzer und der Verbesserung der Plattformsicherheit.

Bitdefender rät Benutzern, bei Online-Werbung vorsichtig zu sein, Tools zur Betrugs- und Linkprüfung zu verwenden, die Sicherheitssoftware auf dem neuesten Stand zu halten und verdächtige Werbung auf Facebook zu melden, um geschützt zu bleiben.