Hackeri au început să atace utilizatorii de criptomonede prin publicitate agresivă pentru actualizarea Windows 11 pe Facebook.
Anunțurile false se maschează sub actualizări oficiale, dar în realitate fură frazele de acces de la portofelele criptografice, numele de utilizator și alte date confidențiale. În plus, software-ul malițios colectează parolele salvate și sesiunile active din browser.
Hackerii promovează actualizări false Windows 11 prin intermediul Facebook
Conform raportului Malwarebytes, infractorii folosesc branding profesional Microsoft pentru a promova actualizări false Windows 11. După ce utilizatorul face clic pe anunț, acesta ajunge pe un site clonat Microsoft cu un nume de domeniu care imită adresele oficiale ale companiei.
Hackerii aplică geofencing. Aceasta este o metodă prin care atacul vizează utilizatorii obișnuiți care se conectează de acasă sau de la birou. Adresele IP ale centrelor de date sunt ignorate. Această abordare ajută la ascunderea de sistemele automate de detectare.
Dacă utilizatorul trece de verificarea geofencing, i se oferă un instalator malițios. Acesta este găzduit pe GitHub și este descărcat de pe un domeniu protejat cu certificat de securitate. Datorită acestui fapt, virusul apare ca un fișier legitim Microsoft.
Instalatorul în sine dispune de un mecanism de evitare a analizei. Acesta verifică sistemul pentru prezența mașinilor virtuale și instrumentelor de analiză a codului malițios și, în cazul în care sunt detectate, oprește funcționarea. Însă pe computerul unui utilizator obișnuit, programul se instalează și începe infectarea.
Malware-ul instalează un cadru real în folderul numit LunarApplication. Acest nume seamănă cu marca instrumentelor crypto Lunar, ceea ce creează o aparență de legitimitate pentru utilizatorii de criptomonede. În realitate, programul caută fișiere de portofele criptografice și fraze de recuperare, după care trimite datele hackerilor.
Campaniile de publicitate malițioasă pe Facebook durează de mult timp și rămân neobservate datorită metodelor avansate de ocolire a protecției, inclusiv geofencing.
Malware-ul pentru furarea criptomonedelor se răspândește prin publicitate pe rețelele sociale.
Acesta nu este primul caz în care hackerii folosesc publicitate pe Facebook pentru a fura datele portofelelor criptografice. Anul trecut, infractorii au profitat de evenimentul anual Pi2Day și au lansat campanii publicitare de amploare cu conținut malițios, vizând utilizatorii de criptomonede.
Pi2Day este sărbătorit de comunitatea Pi Network pe 28 iunie. În timpul evenimentului de anul trecut, hackerii au postat 140 de anunțuri false folosind marca Pi Network. Utilizatorii au fost redirecționați către site-uri de phishing cu promisiuni de tokenuri Pi gratuite sau participare la airdrop-uri, dar în schimb au cerut fraza de recuperare.
Atacul a afectat utilizatori din diferite regiuni, inclusiv SUA, Europa, Australia, China și India. În plus, infractorii au atras victimele cu oferte de minerit ușor Pi pe smartphone-uri.
În septembrie anul trecut, specialiștii în securitate cibernetică au identificat o altă atac prin publicitate Meta, în care se oferea acces gratuit la TradingView Premium. Cercetătorii de la Bitdefender Labs au descoperit că campania s-a răspândit de asemenea prin Google și YouTube.
Hackerii au preluat un cont verificat YouTube și un cont publicitar Google, după care au lansat anunțuri false pentru a redirecționa utilizatorii către pagini de phishing. Utilizarea conturilor YouTube verificate crește încrederea și determină victimele să acceseze site-uri care se maschează ca fiind legitime.
Potrivit Bitdefender, unul dintre videoclipuri intitulat „Free TradingView Premium — Secret Method They Don’t Want You to Know” a acumulat peste 182 de mii de vizualizări în doar câteva zile.
În descrierea videoclipului era un link către un fișier executabil malițios. Acesta utiliza un mecanism de evitare, prin care utilizatorilor necorespunzători li se arăta o pagină inofensivă. Videoclipul era ascuns și nu apărea în căutări, ceea ce îngreuna descoperirea și raportarea acestuia pe Google.
Nu există date publice despre suma exactă a criptomonedei furate prin intermediul publicității false. Cu toate acestea, conform Chainalysis, în 2025, dauna totală cauzată de criptoscams a fost de aproximativ 17 miliarde de dolari.
Conform informațiilor companiei DeepStrike, în 2025, infractorii au infectat milioane de dispozitive și au furat aproximativ 1,8 miliarde de date de autentificare. În raport se menționează:
„Tot ce ține de bani - banking online, PayPal, portofele criptomonedă - este o țintă evidentă pentru infractorii cibernetici.”
#хакеры #hackers #Facebook #Windows #Write2Earn
