Cyberkriminelle nutzen X-Anzeigenfunktion aus, um ausgeklügelten Krypto-Betrug zu starten.

Cybersecurity-Analysten haben einen gefährlichen neuen Betrug entdeckt, der das URL-Anzeigesystem von X (früher Twitter) ausnutzt, um Nutzer in die Falle von gefälschten Kryptowährungs-Promotionen zu locken.

Bedrohungsforscher von Silent Push haben aufgedeckt, dass Angreifer die Vorschaufunktion für Werbe-URLs von X manipuliert haben, um vertrauenswürdige Domains – wie CNN.com – anzuzeigen, obwohl der tatsächliche Link die Opfer auf Betrugswebseiten führte, die Apple imitierten und einen gefälschten "Apple iToken" Krypto-Vorverkauf bewarben.

Dieses Schema missbraucht, wie X seine Linkvorschau-Karten generiert. Wenn eine URL in einer Anzeige gepostet wird, ruft der Bot von X Metadaten mit einer statischen Benutzer-Agenten-Zeichenfolge ab. Angreifer konfigurieren ihre Webserver so, dass sie diesen Benutzer-Agenten erkennen und den Bot auf eine legitime Seite (wie cnn[.]com) umleiten, wodurch eine saubere Vorschau entsteht. Aber wenn normale Nutzer klicken, werden sie stillschweigend auf Betrugsdomains wie ipresale[.]world umgeleitet.

In einigen Fällen verwenden Angreifer Linkverkürzer wie bit[.]ly, die zunächst auf eine seriöse Seite zur Vorschaugenerierung zeigen, nur um nach der Schaltung der Anzeige auf bösartige Seiten umzuschalten.

Diese Phishing-Links durchlaufen oft mehrere Umleitungen (einschließlich t[.]co), bevor sie auf professionell gestalteten Betrugsseiten landen. Den Opfern werden gefälschte Empfehlungen von Apple-CEO Tim Cook gezeigt und sie werden ermutigt, Geld in eines von 22 Krypto-Wallets über Bitcoin-, Ethereum- und Solana-Netzwerke einzuzahlen.

Weitere Ermittlungen haben fast 90 verwandte Domains entdeckt, die seit 2024 aktiv sind. Die Angreifer verwendeten eine konsistente Infrastruktur – gemeinsame Dateien, Icons, IP-Adressen (z. B. 51.15.17[.]214) und Nameserver (ns1.chsw.host) – um das Betrugsnetzwerk zu betreiben.

Die zweite Welle der Kampagne startete am 5. Mai 2025 über neue X-Anzeigen, die Nutzer über chopinkos[.]digital auf itokensale[.]live umleiteten, mit fast identischem Betrugsinhalt und einem Missbrauch der Apple-Marke.

Einige damit verbundene Domains führten sogar zurück zu verdächtigen .ru-Regionen, obwohl eine definitive Zuordnung zu einer bestimmten Gruppe unbestätigt bleibt.

Dieser Vorfall hebt die Raffinesse moderner Betrügereien in sozialen Medien hervor und die Risiken von Plattformen, die auf clientseitige Umleitungen ohne robuste URL-Überprüfung angewiesen sind. Silent Push empfiehlt dringende Verbesserungen der Werbeüberprüfungs- und Metadatensysteme von X sowie eine größere Wachsamkeit der Nutzer.

Da Werbebetrügereien immer täuschender werden, sollten Nutzer nicht nur zweimal überlegen, bevor sie klicken, sondern auch regelmäßig alte Inhalte bereinigen. Werkzeuge wie TweetDeleter ermöglichen es Ihnen, alte Tweets zu löschen und Ihre Social-Media-Historie zu verwalten – ein wesentlicher Schritt, um online sicher zu bleiben.

Quelle: gbhackers.com