Des hackers ont commencé à attaquer les utilisateurs de cryptomonnaies via une publicité agressive pour la mise à jour de Windows 11 sur Facebook.
Des annonces frauduleuses se déguisent en mises à jour officielles, mais en réalité, elles volent des phrases de récupération de portefeuilles cryptographiques, des identifiants et d'autres données confidentielles. De plus, les logiciels malveillants collectent les mots de passe enregistrés et les sessions actives dans le navigateur.
Les hackers promeuvent de fausses mises à jour de Windows 11 via Facebook
Selon un rapport de Malwarebytes, les malfaiteurs utilisent un branding professionnel de Microsoft pour promouvoir de fausses mises à jour de Windows 11. Après avoir cliqué sur l'annonce, l'utilisateur est redirigé vers un site cloné de Microsoft avec un nom de domaine imitant les adresses officielles de l'entreprise.
Les hackers utilisent le géofencing. C'est une méthode où l'attaque cible les utilisateurs ordinaires se connectant depuis chez eux ou depuis leur bureau. Les adresses IP des centres de données sont ignorées. Cette approche aide à échapper aux systèmes de détection automatiques.
Si l'utilisateur passe la vérification de géofencing, il se voit proposer un installateur malveillant. Il est hébergé sur GitHub et téléchargé à partir d'un domaine sécurisé avec un certificat de sécurité. Grâce à cela, le virus ressemble à un fichier Microsoft légitime.
Le programme d'installation lui-même est doté d'un mécanisme d'évasion de l'analyse. Il vérifie le système pour détecter la présence de machines virtuelles et d'outils d'analyse de logiciels malveillants, et en cas de détection, il cesse de fonctionner. Mais sur l'ordinateur d'un utilisateur ordinaire, le programme s'installe et commence l'infection.
Le malware installe un véritable framework dans un dossier nommé LunarApplication. Ce nom ressemble à la marque des outils crypto Lunar, créant une apparence de légitimité pour les utilisateurs de crypto. En réalité, le programme recherche des fichiers de portefeuilles crypto et des phrases de récupération, puis envoie les données aux hackers.
Les campagnes de publicité malveillante sur Facebook se poursuivent depuis longtemps et restent indétectées grâce à des méthodes avancées de contournement de la protection, y compris le géofencing.
Le malware de vol de cryptomonnaie se propage par le biais de publicités sur les réseaux sociaux
Ce n'est pas la première fois que des hackers utilisent la publicité sur Facebook pour voler des données de portefeuilles cryptographiques. L'année dernière, des malfaiteurs ont profité de l'événement annuel Pi2Day et ont lancé d'énormes campagnes publicitaires contenant des contenus malveillants, ciblant les utilisateurs de crypto.
Pi2Day est célébré par la communauté Pi Network le 28 juin. Lors de l'événement de l'année dernière, des hackers ont publié 140 annonces fictives en utilisant la marque Pi Network. Les utilisateurs étaient redirigés vers des sites de phishing avec des promesses de jetons Pi gratuits ou de participation à un airdrop, mais en échange, ils exigeaient la phrase de récupération.
L'attaque a touché des utilisateurs de différentes régions, y compris les États-Unis, l'Europe, l'Australie, la Chine et l'Inde. De plus, les malfaiteurs ont appâté les victimes avec des offres de minage facile de Pi sur smartphones.
En septembre de l'année dernière, des experts en cybersécurité ont identifié une autre attaque via la publicité Meta, qui proposait un accès gratuit à TradingView Premium. Les chercheurs de Bitdefender Labs ont découvert que la campagne s'était également propagée par Google et YouTube.
Les hackers ont pris le contrôle d'un compte YouTube vérifié et d'un compte publicitaire Google, puis ont lancé de fausses annonces pour rediriger les utilisateurs vers des pages de phishing. L'utilisation de comptes YouTube vérifiés renforce la confiance et pousse les victimes à visiter des sites se faisant passer pour légitimes.
Selon Bitdefender, l'une des vidéos intitulée « Free TradingView Premium — Secret Method They Don’t Want You to Know » a été visionnée plus de 182 000 fois en seulement quelques jours.
La description de la vidéo contenait un lien vers un fichier exécutable malveillant. Il utilisait un mécanisme d'évasion, où une page inoffensive était montrée aux utilisateurs non ciblés. La vidéo était cachée et n'apparaissait pas dans les recherches, rendant sa détection et les plaintes à Google plus difficiles.
Il n'existe pas de données publiques sur le montant exact de cryptomonnaie volée spécifiquement par le biais de fausses publicités. Cependant, selon Chainalysis, en 2025, les pertes totales dues aux escroqueries cryptographiques s'élevaient à environ 17 milliards de dollars.
Selon la société DeepStrike, en 2025, des escrocs ont infecté des millions d'appareils et volé environ 1,8 milliard de données d'identification. Le rapport indique :
« Tout ce qui concerne l'argent — la banque en ligne, PayPal, les portefeuilles de cryptomonnaie — est une cible évidente pour les cybercriminels. »
#хакеры #hackers #Facebook #Windows #Write2Earn
