Anuncios falsos de Windows 11 en Facebook utilizados para robar criptomonedas en campaña activa de malware

La operación, descubierta en febrero de 2026 por investigadores de PCMag y Malwarebytes, utiliza publicidad convincente con temática de Microsoft para engañar a los usuarios y hacer que instalen software malicioso diseñado para vaciar billeteras de criptomonedas.

Los atacantes parecen estar enfocándose en usuarios que aún no han actualizado a Windows 11 y que pueden estar buscando activamente opciones de actualización después de la fecha límite de fin de soporte para Windows 10.

Cómo Funciona la Estafa

La campaña comienza con anuncios pagados en Facebook que presentan marca profesional de Microsoft y mensajes que ofrecen una actualización "gratuita" o "rápida" de Windows 11. Los anuncios redirigen a los usuarios a sitios web falsificados que imitan fielmente las páginas oficiales de descarga de Microsoft. Algunos de los dominios falsos incluso hacen referencia a "25H2" para parecer actuales y legítimos.

Se solicita a las víctimas que descarguen un archivo, a menudo llamado "ms-update32.exe", normalmente de alrededor de 75 MB de tamaño. El instalador está alojado en repositorios controlados por los atacantes, incluidos proyectos clonados en GitHub, lo que le da una capa adicional de legitimidad percibida.

En algunas variaciones, los atacantes van más allá al usar indicaciones CAPTCHA falsas. Se instruye a los usuarios a presionar Windows + R, pegar un comando en el cuadro de diálogo Ejecutar y ejecutar código PowerShell malicioso manualmente. Este truco de ingeniería social evita las advertencias tradicionales de descarga y aumenta la probabilidad de infección.

El Infostealer "LunarApplication" se Dirige a Activos Cripto

Una vez instalado, el malware implementa un infostealer oculto dentro de una carpeta llamada "LunarApplication". El nombre parece haber sido elegido intencionalmente para parecerse a herramientas legítimas relacionadas con criptomonedas, reduciendo la sospecha entre los poseedores de activos digitales.

El objetivo principal del malware es la extracción de datos. Escanea el sistema en busca de:

• Frases de recuperación de billeteras de criptomonedas
• Credenciales de inicio de sesión de exchanges
• Contraseñas guardadas en el navegador
• Cookies de sesión activas

Con acceso a las frases de recuperación o sesiones autenticadas, los atacantes pueden transferir rápidamente fondos de las billeteras de las víctimas antes de que se den cuenta de lo sucedido.

Técnicas Avanzadas de Evasión

Los investigadores dicen que la campaña utiliza varias tácticas sofisticadas para evitar la detección.

El geofencing es una de las defensas clave. Si el sitio web malicioso detecta tráfico desde un centro de datos, VPN comúnmente utilizado por investigadores o un rango de IP de escáneres de seguridad conocidos, redirige a los visitantes a la página de inicio de Google en lugar de servir la carga útil.

El instalador también verifica si hay máquinas virtuales y entornos de análisis. Si detecta que se está ejecutando dentro de un sandbox o sistema monitoreado, se niega a ejecutarse.

Para persistencia, el malware se incrusta en el registro de Windows bajo la ruta HKEY_LOCAL_MACHINE\SYSTEM\Software\Microsoft\TIP\AggregateResults, lo que le permite sobrevivir a los reinicios del sistema y continuar recopilando datos sensibles.

Qué Deben Hacer los Usuarios

Los expertos en seguridad enfatizan que Microsoft no promociona actualizaciones del sistema operativo a través de anuncios en redes sociales. Las actualizaciones legítimas se entregan exclusivamente a través de la función integrada de Windows Update en la configuración del sistema.

Los usuarios que hayan hecho clic en anuncios sospechosos o descargado archivos deben ejecutar inmediatamente un escaneo completo del sistema utilizando software antivirus confiable como Malwarebytes Free Scanner.

Para los poseedores de criptomonedas, la orientación es aún más urgente. Si se sospecha que un dispositivo está comprometido, los fondos deben moverse a una nueva billetera generada en un dispositivo separado y limpio. Se debe crear una nueva frase de recuperación, ya que cualquier frase previamente expuesta debe considerarse permanentemente comprometida.

A medida que crece la adopción de criptomonedas, los atacantes están combinando cada vez más tácticas tradicionales de malware con robo de activos digitales. Esta última campaña destaca cómo la ingeniería social, combinada con marca pulida y evasión técnica, puede convertir una simple "actualización del sistema" en una puerta de entrada para pérdidas financieras.

La información proporcionada en este artículo es solo para fines educativos y no constituye asesoramiento financiero, de inversión o de trading. Coindoo.com no respalda ni recomienda ninguna estrategia de inversión o criptomoneda específica. Siempre realice su propia investigación y consulte con un asesor financiero autorizado antes de tomar cualquier decisión de inversión.

La publicación Anuncios Falsos de Windows 11 en Facebook Utilizados para Robar Cripto en Campaña Activa de Malware apareció primero en Coindoo.