(Ein echter Anwendungsfall — geteilt, damit andere nicht zum Opfer fallen)

Ein neuer Betrug, der Trader ins Visier nimmt, breitet sich in letzter Zeit aus, insbesondere bei denen, die TradingView oder Krypto-Plattformen nutzen. Der Betrug verspricht „TradingView Premium für 1 Jahr — KOSTENLOS“, wenn Sie eine Desktop-App installieren.

In Wirklichkeit installiert der Installer einen dateilosen PowerShell-Trojaner (JSCEAL), der im Hintergrund heimlich schadhafte Skripte ausführt.

Dieser Artikel basiert auf einem echten Vorfall, der einem Trader widerfahren ist — geteilt, um anderen zu helfen, sicher zu bleiben.

🎯 Wie der Betrug funktioniert

  • Das Opfer sieht ein gefälschtes Angebot:

    „TradingView Premium gratis für 1 Jahr“

    „Kostenloses Upgrade — keine Zahlung erforderlich“

    „Installieren Sie TradingView Desktop, um Premium zu aktivieren“

  • Der Download-Link sieht so aus:

    hxxps://jimmywarting.github.io/StreamSaver.js/app-download-users.com/775981/installer.exe

    Das ist NICHT TradingView.
    Das ist NICHT offizielle Software.
    Das ist NICHT von Microsoft oder GitHub.

    Betrüger nutzen GitHub-Seiten, um die URL vertrauenswürdig erscheinen zu lassen.

  • Das Opfer lädt installer.exe herunter und führt es aus.

Der „Installer“ erstellt heimlich eine Windows-geplante Aufgabe:

MicrosoftResourcesInstallerV1-vzp7j

Im Inneren der Aufgabe befinden sich mehrere Befehle:

powershell -NoProfile -EncodedCommand ...

Dies sind base64-codierte bösartige Skripte, die als JSCEAL-Dateilos-Trojaner-Payloads bekannt sind.

🧨 Warum JSCEAL gefährlich ist

JSCEAL ist eine dateilose PowerShell-Malware, was bedeutet:

  • Es werden keine Virusdateien auf die Festplatte geschrieben

  • Der Code wird vollständig im Speicher ausgeführt

  • Persistent über geplante Aufgabe

  • Schwierig für traditionelle Antivirenprogramme zu erkennen

  • Kann Browserdaten und -sitzungen stehlen

  • Läuft leise mit SYSTEM-Rechten

    In diesem echten Fall erkannte ESET Antivirus:

    PowerShell/JSCeal.B Trojaner

    über AMSI (malicious scripting interface)

🔍 Wie das Opfer bemerkte, dass etwas nicht stimmte

Immer wenn TradingView im Browser geöffnet wurde, zeigte ESET wiederholt Warnungen an:

  • PowerShell startet verdächtige codierte Skripte

  • Ausführung durch AMSI blockiert

  • Aktivitäten, die mit PowerShell-Modulen verbunden sind

Aber:

  • Kein TradingView-Programm im Kontrollfeld vorhanden

  • Keine installierten TradingView-Desktopdateien

  • Keine bösartigen Dienste oder Registrierungseinträge

  • Nichts Verdächtiges im AppData

  • Doch PowerShell lief weiterhin

Nach einer gründlichen Untersuchung wurde die Ursache gefunden:

👉 Eine versteckte geplante Aufgabe, erstellt vom gefälschten „TradingView-Installer.“

🛠 So entfernen Sie die Malware (Vollständige Lösung)

Wenn Sie auf einen ähnlichen Link geklickt haben, befolgen Sie diese Schritte sofort:

✔ SCHRITT 1 — Löschen Sie die bösartige geplante Aufgabe

Führen Sie PowerShell als Administrator aus:

schtasks /delete /tn MicrosoftResourcesInstallerV1-vzp7j /f

Dies entfernt die Persistenz der Malware.

✔ SCHRITT 2 — Browser-Cache und Dienstprogramm zurücksetzen

Schließen Sie Microsoft Edge vollständig, und löschen Sie dann:

%LocalAppData%\Microsoft\Edge\User Data\Default\Service Worker

%LocalAppData%\Microsoft\Edge\User Data\Default\Code Cache

%LocalAppData%\Microsoft\Edge\User Data\Default\Cache

Dies löscht bösartige Skripte, die von der betrügerischen Website hinterlassen wurden.

✔ SCHRITT 3 — Microsoft Edge zurücksetzen

Einstellungen → Zurücksetzen → Einstellungen auf ihre Standardwerte wiederherstellen.

✔ SCHRITT 4 — Vollständiger Antivirus-Scan

Führen Sie einen Tiefenscan mit ESET, Malwarebytes oder Windows Defender durch.

✔ SCHRITT 5 — Wichtige Passwörter ändern

Insbesondere:

  • E-Mail

  • TradingView

  • Binance

  • Online-Banking / Wallets

Verwenden Sie ein sicheres Gerät, um sie zu ändern.

🟩 Lektionen gelernt

  1. TradingView gibt niemals kostenlose 1-Jahres-Premium-Pläne ab.

  2. Laden Sie TradingView nur von der offiziellen Seite herunter:

    https://www.tradingview.com/desktop/

  3. Links von GitHub-Seiten können von Betrügern missbraucht werden.

  4. Codierte PowerShell-Befehle in geplanten Aufgaben = fast immer Malware.

  5. Dateilose Malware ist schwieriger zu erkennen und zu entfernen als normale .exe-Viren.

🟧 Letzte Warnung

Betrüger lieben es, beliebte Plattformen nachzuahmen, wie:

  • TradingView

  • Binance

    BTC
    BTC
    68,625.78
    -0.36%

  • MetaTrader

  • Krypto-Börsen

Sie machen Jagd auf Händler, die nach Tools, Rabatten oder Upgrades suchen.

Wenn etwas behauptet, „kostenloses Premium“, „lebenslangen Zugang“ oder „1-Jahres-Upgrade“ zu sein, gehen Sie immer davon aus, dass es sich um einen Betrug handelt, es sei denn, dies wird von der offiziellen Website bestätigt.

Bleiben Sie vorsichtig und halten Sie Ihr System sauber. Viel Spaß beim Handeln!

\u003cc-338/\u003e\u003ct-339/\u003e