Peretas mulai menyerang pengguna kripto melalui iklan agresif untuk pembaruan Windows 11 di Facebook.
Iklan palsu menyamar sebagai pembaruan resmi, tetapi pada kenyataannya mencuri frasa pemulihan dari dompet kripto, login, dan data pribadi lainnya. Selain itu, malware mengumpulkan kata sandi yang disimpan dan sesi aktif di browser.
Peretas mempromosikan pembaruan palsu Windows 11 melalui Facebook.
Menurut laporan Malwarebytes, penjahat menggunakan branding profesional Microsoft untuk mempromosikan pembaruan Windows 11 palsu. Setelah mengklik iklan, pengguna diarahkan ke situs Microsoft yang dikloning dengan nama domain yang meniru alamat resmi perusahaan.
Peretas menggunakan geofencing. Ini adalah metode di mana serangan ditargetkan pada pengguna biasa yang terhubung dari rumah atau kantor. Alamat IP pusat data diabaikan. Pendekatan ini membantu menyembunyikan diri dari sistem deteksi otomatis.
Jika pengguna melewati pemeriksaan geofencing, ia akan ditawari penginstal berbahaya. Itu dihosting di GitHub dan diunduh dari domain aman dengan sertifikat keamanan. Dengan cara ini, virus tampak seperti file Microsoft yang sah.
Instalernya dilengkapi dengan mekanisme penghindaran analisis. Ia memeriksa sistem untuk mendeteksi mesin virtual dan alat untuk menganalisis kode berbahaya, dan ketika terdeteksi, ia berhenti berfungsi. Namun, di komputer pengguna biasa, program ini diinstal dan mulai menginfeksi.
Malware menginstal framework asli di folder bernama LunarApplication. Nama ini mirip dengan merek alat kripto Lunar, yang menciptakan ilusi legitimasi bagi pengguna kripto. Pada kenyataannya, program ini mencari file dompet kripto dan frasa pemulihan, setelah itu mengirim data ke peretas.
Kampanye dengan iklan berbahaya di Facebook telah berlangsung cukup lama dan tetap tidak terdeteksi berkat metode canggih untuk melewati perlindungan, termasuk geofencing.
Malware untuk mencuri cryptocurrency disebarkan melalui iklan di media sosial.
Ini bukan kasus pertama kalinya, ketika peretas menggunakan iklan di Facebook untuk mencuri data dompet kripto. Tahun lalu, penjahat memanfaatkan acara tahunan Pi2Day dan meluncurkan kampanye iklan besar-besaran dengan konten berbahaya, yang ditargetkan pada pengguna kripto.
Pi2Day dirayakan oleh komunitas Pi Network pada 28 Juni. Selama acara tahun lalu, peretas menayangkan 140 iklan palsu dengan menggunakan merek Pi Network. Pengguna dialihkan ke situs phishing dengan janji token Pi gratis atau partisipasi dalam airdrop, tetapi sebagai gantinya mereka diminta untuk memberikan frasa pemulihan.
Serangan ini mempengaruhi pengguna dari berbagai wilayah, termasuk AS, Eropa, Australia, China, dan India. Selain itu, para penjahat menarik korban dengan tawaran penambangan Pi yang mudah di smartphone.
Pada bulan September tahun lalu, para ahli keamanan siber mengidentifikasi serangan lain melalui iklan Meta, yang menawarkan akses gratis ke TradingView Premium. Peneliti dari Bitdefender Labs menemukan bahwa kampanye ini juga menyebar melalui Google dan YouTube.
Peretas mengambil alih akun YouTube yang terverifikasi dan akun iklan Google, setelah itu meluncurkan iklan palsu untuk mengalihkan pengguna ke halaman phishing. Penggunaan akun YouTube yang terkonfirmasi meningkatkan kepercayaan dan mendorong korban untuk mengunjungi situs yang menyamar sebagai yang sah.
Menurut Bitdefender, salah satu video berjudul "Free TradingView Premium — Secret Method They Don’t Want You to Know" telah mendapatkan lebih dari 182 ribu tampilan hanya dalam beberapa hari.
Dalam deskripsi video terdapat tautan ke file eksekusi berbahaya. Itu menggunakan mekanisme penghindaran, di mana pengguna yang tidak sesuai melihat halaman yang tidak berbahaya. Video tersebut disembunyikan dan tidak muncul dalam pencarian, membuatnya sulit untuk ditemukan dan dilaporkan ke Google.
Data publik tentang jumlah tepat cryptocurrency yang dicuri melalui iklan palsu tidak ada. Namun, menurut Chainalysis, pada tahun 2025, total kerugian dari crypto scam mencapai sekitar $17 miliar.
Menurut informasi dari perusahaan DeepStrike, pada tahun 2025, penjahat telah menginfeksi jutaan perangkat dan mencuri sekitar 1,8 miliar akun data. Dalam laporan tersebut disebutkan:
"Segala sesuatu yang terkait dengan uang — perbankan online, PayPal, dompet cryptocurrency — adalah target yang jelas bagi penjahat siber."
#хакеры #hackers #Facebook #Windows #Write2Earn
