← Alle Schadenbeispiele

FacexWorm: Krypto-Diebstahl über Facebook Messenger

von freeze4me.com · 2026-03-23
FacexWorm Facebook Messenger Kryptowährung Cryptojacking Browser-Erweiterung Social Engineering

FacexWorm verbreitete sich über Facebook Messenger, stahl Kryptowährung und schürfte im Browser – alles getarnt als harmloser Video-Link.

FacexWorm: Krypto-Diebstahl über Facebook Messenger

Der Vorfall

Im April 2018 entdeckte Trend Micro eine neuartige Malware, die sich rasant über Facebook Messenger verbreitete: FacexWorm. Die Malware kombinierte mehrere Angriffstechniken in einem einzigen Paket – Kryptowährungs-Diebstahl, Browser-basiertes Cryptojacking, Credential Harvesting und Wurm-Funktionalität über soziale Netzwerke.

FacexWorm basierte auf einer älteren Facebook-Malware namens Digmine, die bereits Ende 2017 aufgetaucht war. Die Entwickler hatten den Code jedoch erheblich erweitert und mit neuen Funktionen ausgestattet. Besonders betroffen waren Nutzer von Google Chrome auf Windows-Systemen.

Die Verbreitung erfolgte über eine der ältesten Social-Engineering-Techniken im Internet: Ein Freund auf Facebook schickte Dir einen Link zu einem vermeintlichen Video. Wer darauf klickte und die angeblich benötigte Browser-Erweiterung installierte, war infiziert – und sendete unwissentlich den gleichen Link an seine eigenen Facebook-Kontakte weiter. So verbreitete sich FacexWorm exponentiell durch Freundeskreise und Netzwerke.

Wie der Angriff funktionierte

FacexWorm nutzte ein mehrstufiges Angriffsmuster, das Social Engineering, Browser-Manipulation und Kryptowährungs-Diebstahl kombinierte:

Stufe 1 – Der Facebook-Messenger-Köder: Das Opfer erhielt eine Nachricht von einem Facebook-Freund – einer echten Person, deren Rechner bereits infiziert war. Die Nachricht enthielt einen kurzen Text wie „Schau mal, bist Du das in diesem Video?" oder „OMG, hast Du das gesehen?" zusammen mit einem Link. Da die Nachricht von einem bekannten Kontakt stammte, vertrauten viele Empfänger dem Link.

Stufe 2 – Die gefälschte YouTube-Seite: Der Link führte nicht zu YouTube, sondern zu einer täuschend echten Nachbildung der YouTube-Oberfläche. Die Seite zeigte ein Video-Thumbnail und eine Fehlermeldung: Um das Video abspielen zu können, müsse eine Chrome-Erweiterung installiert werden. Der „Installieren"-Button leitete zum Chrome Web Store weiter, wo eine manipulierte Erweiterung hinterlegt war.

Stufe 3 – Die bösartige Chrome-Erweiterung: Die Erweiterung forderte bei der Installation umfangreiche Berechtigungen an: Zugriff auf alle Webseitendaten, Modifikation von HTTP-Anfragen, Zugriff auf Tabs und Browserverlauf. Diese Berechtigungen sind für legitime Erweiterungen ungewöhnlich weitreichend, werden aber von vielen Nutzern ungeprüft akzeptiert.

Nach der Installation verankerte sich FacexWorm tief im Chrome-Browser und begann seine eigentliche Arbeit:

Stufe 4 – Credential Harvesting: FacexWorm überwachte den Browser auf Anmeldeseiten von Google, Facebook und verschiedenen Kryptowährungs-Börsen. Wenn Du Dich bei einer dieser Seiten anmeldetest, fing die Erweiterung Deine Zugangsdaten ab und übermittelte sie an den C2-Server der Angreifer.

Stufe 5 – Kryptowährungs-Diebstahl durch Adress-Manipulation: Eines der tückischsten Features: Wenn Du auf einer Kryptowährungs-Börse eine Wallet-Adresse zum Senden von Coins eingabst, ersetzte FacexWorm die Zieladresse heimlich durch eine Wallet-Adresse der Angreifer. Da Krypto-Adressen lange, zufällig aussehende Zeichenketten sind, bemerkten die meisten Opfer den Austausch nicht. Die Coins landeten direkt beim Angreifer – unwiderruflich.

Stufe 6 – Browser-Cryptojacking: Zusätzlich injizierte FacexWorm Coinhive-Mining-Skripte in jede besuchte Webseite. Der Browser des Opfers schürfte im Hintergrund Monero für die Angreifer. Die CPU-Auslastung stieg spürbar, was viele Nutzer auf den Browser oder die besuchte Webseite schoben – nicht auf eine Malware.

Stufe 7 – Wurm-Verbreitung: Parallel zu all diesen Aktivitäten durchsuchte FacexWorm die Facebook-Freundesliste des Opfers und verschickte den Köder-Link an alle Kontakte. Die Nachricht wurde so gestaltet, dass sie wie eine persönliche Mitteilung wirkte. So verbreitete sich die Malware exponentiell weiter.

Stufe 8 – Referral-Betrug: Als zusätzliche Einnahmequelle leitete FacexWorm bestimmte Webseiten-Aufrufe über Affiliate-Links um. Wenn Du beispielsweise eine Kryptowährungs-Börse besuchtest, wurde Dein Besuch über einen Referral-Link der Angreifer umgeleitet, die dafür Provisionen kassierten.

Warum Virenscanner versagten

FacexWorm nutzte mehrere Eigenschaften, die es Virenscannern besonders schwer machten:

Browser-Erweiterungen als blinder Fleck. Virenscanner konzentrieren sich traditionell auf ausführbare Dateien (.exe, .dll), Skripte und Dokumente auf der Systempartition. Browser-Erweiterungen bestehen aus JavaScript-Code, der innerhalb der Browser-Sandbox läuft. Viele Antivirenlösungen prüften 2018 Browser-Erweiterungen gar nicht oder nur oberflächlich.

Installation über den offiziellen Chrome Web Store. Die Erweiterung wurde über Googles offiziellen Store installiert. Nutzer erwarten, dass Google die darin angebotenen Erweiterungen prüft und bösartige Einträge entfernt. Tatsächlich gelang es FacexWorm wiederholt, die automatisierten Prüfungen zu umgehen. Google entfernte die Erweiterung zwar nach Meldungen, aber die Angreifer luden schnell neue Varianten unter anderem Namen hoch.

Obfuskierter JavaScript-Code. Der Code der Erweiterung war stark verschleiert. Die eigentliche Schadfunktionalität wurde erst nach der Installation von einem externen Server nachgeladen, sodass die im Chrome Web Store hochgeladene Version harmlos aussah.

Social-Engineering-Komponente. Der Facebook-Messenger-Köder war für Virenscanner unsichtbar: Eine Nachricht von einem Freund mit einem Link ist kein Malware-Artefakt, das ein Scanner auf der Systempartition erkennen könnte. Die Entscheidung, den Link zu öffnen und die Erweiterung zu installieren, trifft der Nutzer.

Verschlüsselte Browser-Kommunikation. Alle Aktionen von FacexWorm – Credential Harvesting, Adress-Austausch, Mining-Skript-Injektion – fanden innerhalb des Browsers statt, in verschlüsselten HTTPS-Verbindungen. Netzwerkbasierte Sicherheitsprodukte konnten den Datenverkehr nicht inspizieren.

So hätte Deep Freeze geschützt

Deep Freeze hätte FacexWorm auf mehreren Ebenen neutralisiert:

Die Chrome-Erweiterung wird beim Neustart entfernt. Browser-Erweiterungen werden als Dateien im Benutzerprofil gespeichert und in der Browser-Konfiguration registriert. Auf einer eingefrorenen Systempartition werden diese Dateien und Einstellungen beim Reboot in den Originalzustand zurückgesetzt. Die bösartige Erweiterung ist nach dem Neustart verschwunden.

Der Cryptojacking-Code wird gestoppt. Die injizierten Mining-Skripte laufen nur solange der Browser geöffnet ist und die Erweiterung aktiv ist. Nach dem Neustart existiert die Erweiterung nicht mehr, und das Mining stoppt.

Der Wurm-Kreislauf wird unterbrochen. FacexWorm verbreitet sich über Facebook-Messenger-Nachrichten, die vom infizierten Rechner gesendet werden. Wenn die Erweiterung beim Neustart entfernt wird, kann der Rechner keine neuen Köder-Nachrichten mehr versenden. Die exponentielle Verbreitung wird gestoppt.

Gestohlene Browser-Daten werden im Kontext begrenzt. Während FacexWorm in einer laufenden Sitzung Zugangsdaten abfangen kann, verhindert Deep Freeze, dass die Malware über Tage oder Wochen hinweg systematisch alle Anmeldungen protokolliert. Jeder Neustart unterbricht die Überwachung.

Keine neue Installation ohne erneutes Social Engineering. Nach dem Reboot müsste das Opfer erneut auf einen Köder-Link klicken und die Erweiterung manuell installieren. Die Hürde für eine erneute Infektion ist damit deutlich höher als bei Malware, die sich automatisch neu installiert.

Manipulierte Browser-Einstellungen werden zurückgesetzt. FacexWorm modifizierte Chrome-Einstellungen, um seine Aktivitäten zu erleichtern. Deep Freeze stellt die originalen Browser-Einstellungen bei jedem Neustart wieder her.

Die Lehre

  • Soziale Netzwerke sind mächtige Malware-Verbreitungskanäle. Eine Nachricht von einem Freund genießt mehr Vertrauen als jede Phishing-Mail von einem Unbekannten. FacexWorm nutzte dieses Vertrauen gezielt aus.
  • Browser-Erweiterungen sind ein unterschätztes Sicherheitsrisiko. Sie haben Zugriff auf alle besuchten Webseiten, alle eingegebenen Daten und alle Browser-Funktionen. Eine einzige bösartige Erweiterung kann den gesamten digitalen Alltag kompromittieren.
  • Kryptowährungs-Adressen sind ideale Manipulationsziele. Die langen, kryptischen Zeichenketten laden dazu ein, per Copy-Paste eingefügt zu werden – und genau an diesem Punkt setzt der Adress-Austausch an.
  • Der offizielle Chrome Web Store ist kein Sicherheitsgarant. Googles automatisierte Prüfungen können umgangen werden, und bösartige Erweiterungen bleiben oft tagelang verfügbar, bevor sie entfernt werden.
  • Deep Freeze schützt vor Browser-basierter Malware genauso effektiv wie vor klassischen Viren. Die eingefrorene Systempartition unterscheidet nicht zwischen einer bösartigen .exe-Datei und einer bösartigen Chrome-Erweiterung – beides wird beim Neustart entfernt. Das Angriffsmuster – kleiner Einstieg, dann Nachladen weiterer Funktionen – wird durch den Reboot konsequent durchbrochen.

Nie wieder Opfer von Malware?

Deep Freeze macht Deinen PC immun gegen Viren, Ransomware und ungewollte Änderungen. Ein Neustart genügt.

So schützt Du Deinen PC →

← Alle Schadenbeispiele

Weitere Schadenbeispiele

Deep Freeze entdecken

Mehr erfahren →