صرافیDEX+

خرید ارز دیجیتال بازارها اسپات فیوچرزGOLD پس انداز مرکز رویداد

بیشتر

نکات کلیدی تبلیغات جعلی Windows 11 در فیسبوک بدافزار سارق کریپتو را منتشر می‌کنند. قربانیان به وب‌سایت‌های شبیه‌سازی شده به سبک مایکروسافت هدایت می‌شوند. "LunarApplication" […]نکات کلیدی تبلیغات جعلی Windows 11 در فیسبوک بدافزار سارق کریپتو را منتشر می‌کنند. قربانیان به وب‌سایت‌های شبیه‌سازی شده به سبک مایکروسافت هدایت می‌شوند. "LunarApplication" […]

تبلیغات جعلی ویندوز 11 در فیسبوک برای سرقت کریپتو در کمپین بدافزار فعال استفاده شد

نویسنده: Coindoo

منبع: Coindoo

2026/02/25 21:45

مدت مطالعه: 4 دقیقه

اشتراک

نکات کلیدی

تبلیغات جعلی Windows 11 در فیسبوک، بدافزار سارق ارز دیجیتال را منتشر می‌کنند.
قربانیان به وب‌سایت‌های شبیه‌سازی شده به سبک مایکروسافت هدایت می‌شوند.
اینفواستیلر "LunarApplication" عبارت بازیابی و رمزهای عبور را هدف قرار می‌دهد.
بدافزار از geofencing و تشخیص sandbox برای اجتناب از ابزارهای امنیتی استفاده می‌کند.

این عملیات که در بهمن ۱۴۰۴ توسط محققان PCMag و Malwarebytes کشف شد، از تبلیغات متقاعدکننده با مضمون مایکروسافت استفاده می‌کند تا کاربران را فریب دهد و نرم‌افزار مخرب طراحی شده برای تخلیه کیف پول‌های ارز دیجیتال را نصب کنند.

به نظر می‌رسد مهاجمان بر کاربرانی متمرکز شده‌اند که هنوز به Windows 11 ارتقا نیافته‌اند و ممکن است به طور فعال به دنبال گزینه‌های ارتقا پس از پایان پشتیبانی Windows 10 باشند.

نحوه عملکرد کلاهبرداری

کمپین با تبلیغات پولی فیسبوک شروع می‌شود که دارای برندینگ حرفه‌ای مایکروسافت و پیام‌هایی است که ارتقای «رایگان» یا «سریع» Windows 11 را ارائه می‌دهند. این تبلیغات کاربران را به وب‌سایت‌های جعلی هدایت می‌کنند که به شدت شبیه صفحات دانلود رسمی مایکروسافت هستند. برخی از دامنه‌های جعلی حتی به "25H2" اشاره می‌کنند تا به‌روز و معتبر به نظر برسند.

از قربانیان خواسته می‌شود فایلی را دانلود کنند که اغلب "ms-update32.exe" نام دارد و معمولاً حدود ۷۵ مگابایت حجم دارد. نصب‌کننده در مخازن کنترل شده توسط مهاجم، از جمله پروژه‌های شبیه‌سازی شده در GitHub، میزبانی می‌شود و لایه اضافی از مشروعیت ظاهری به آن می‌دهد.

در برخی از حالت‌ها، مهاجمان با استفاده از درخواست‌های CAPTCHA جعلی پیش می‌روند. به کاربران دستور داده می‌شود Windows + R را فشار دهند، دستوری را در کادر Run قرار دهند و کد مخرب PowerShell را به صورت دستی اجرا کنند. این ترفند مهندسی اجتماعی هشدارهای دانلود سنتی را دور می‌زند و احتمال آلودگی را افزایش می‌دهد.

اینفواستیلر "LunarApplication" دارایی‌های ارز دیجیتال را هدف قرار می‌دهد

پس از نصب، بدافزار یک اینفواستیلر را در داخل پوشه‌ای به نام "LunarApplication" مستقر می‌کند. به نظر می‌رسد این نام عمداً انتخاب شده تا شبیه ابزارهای معتبر مرتبط با ارز دیجیتال باشد و سوء ظن در بین دارندگان دارایی‌های دیجیتال را کاهش دهد.

هدف اصلی بدافزار استخراج داده است. سیستم را برای موارد زیر اسکن می‌کند:

عبارت بازیابی کیف پول ارز دیجیتال
اطلاعات ورود به صرافی
رمزهای عبور ذخیره شده مرورگر
کوکی‌های جلسه فعال

با دسترسی به عبارت بازیابی یا جلسات احراز هویت شده، مهاجمان می‌توانند به سرعت وجوه را از کیف پول قربانیان قبل از اینکه متوجه اتفاق افتاده شوند، منتقل کنند.

تکنیک‌های پیشرفته اجتناب

محققان می‌گویند کمپین از چندین تاکتیک پیچیده برای اجتناب از تشخیص استفاده می‌کند.

Geofencing یکی از دفاع‌های کلیدی است. اگر وب‌سایت مخرب ترافیک را از یک مرکز داده، VPN که معمولاً توسط محققان استفاده می‌شود یا محدوده IP اسکنر امنیتی شناخته شده تشخیص دهد، بازدیدکنندگان را به جای ارائه بار مخرب به صفحه اصلی گوگل هدایت می‌کند.

نصب‌کننده همچنین ماشین‌های مجازی و محیط‌های تحلیلی را بررسی می‌کند. اگر تشخیص دهد که در داخل یک sandbox یا سیستم تحت نظارت در حال اجرا است، از اجرا امتناع می‌کند.

برای پایداری، بدافزار خود را در رجیستری ویندوز تحت مسیر HKEY_LOCAL_MACHINE\SYSTEM\Software\Microsoft\TIP\AggregateResults جاسازی می‌کند و به آن اجازه می‌دهد از راه‌اندازی مجدد سیستم جان سالم به در ببرد و به برداشت داده‌های حساس ادامه دهد.

آنچه کاربران باید انجام دهند

کارشناسان امنیتی تاکید می‌کنند که مایکروسافت ارتقای سیستم عامل را از طریق تبلیغات رسانه‌های اجتماعی تبلیغ نمی‌کند. به‌روزرسانی‌های معتبر منحصراً از طریق ویژگی Windows Update داخلی در تنظیمات سیستم ارائه می‌شوند.

کاربرانی که روی تبلیغات مشکوک کلیک کرده یا فایل‌ها را دانلود کرده‌اند، باید فوراً با استفاده از نرم‌افزار آنتی‌ویروس معتبر مانند Malwarebytes Free Scanner اسکن کامل سیستم را انجام دهند.

برای دارندگان ارز دیجیتال، راهنمایی حتی فوری‌تر است. اگر گمان می‌رود دستگاهی در معرض خطر قرار گرفته است، وجوه باید به کیف پول جدیدی که روی یک دستگاه جداگانه و تمیز تولید شده است، منتقل شوند. یک عبارت بازیابی جدید باید ایجاد شود، زیرا هر عبارت قبلاً افشا شده باید به طور دائم در معرض خطر در نظر گرفته شود.

با رشد پذیرش ارز دیجیتال، مهاجمان به طور فزاینده‌ای تاکتیک‌های بدافزار سنتی را با سرقت دارایی‌های دیجیتال ترکیب می‌کنند. این کمپین اخیر برجسته می‌کند که چگونه مهندسی اجتماعی، همراه با برندینگ جلادار شده و اجتناب فنی، می‌تواند یک «به‌روزرسانی سیستم» ساده را به دروازه‌ای برای ضرر مالی تبدیل کند.

اطلاعات ارائه شده در این مقاله صرفاً برای اهداف آموزشی است و توصیه مالی، سرمایه گذاری یا معاملاتی نیست. Coindoo.com هیچ استراتژی سرمایه گذاری یا ارز دیجیتال خاصی را تایید یا توصیه نمی‌کند. همیشه تحقیقات خود را انجام دهید و قبل از اتخاذ هرگونه تصمیم سرمایه گذاری با یک مشاور مالی دارای مجوز مشورت کنید.

پست تبلیغات جعلی Windows 11 در فیسبوک برای سرقت ارز دیجیتال در کمپین بدافزار فعال استفاده شد ابتدا در Coindoo ظاهر شد.

سلب مسئولیت: مطالب بازنشرشده در این وب‌ سایت از منابع عمومی گردآوری شده‌ اند و صرفاً به‌ منظور اطلاع‌ رسانی ارائه می‌ شوند. این مطالب لزوماً بازتاب‌ دهنده دیدگاه‌ ها یا مواضع MEXC نیستند. کلیه حقوق مادی و معنوی آثار متعلق به نویسندگان اصلی است. در صورت مشاهده هرگونه محتوای ناقض حقوق اشخاص ثالث، لطفاً از طریق آدرس ایمیل crypto.news@mexc.com با ما تماس بگیرید تا مورد بررسی و حذف قرار گیرد.MEXC هیچ‌ گونه تضمینی نسبت به دقت، جامعیت یا به‌ روزبودن اطلاعات ارائه‌ شده ندارد و مسئولیتی در قبال هرگونه اقدام یا تصمیم‌ گیری مبتنی بر این اطلاعات نمی‌ پذیرد. همچنین، محتوای منتشرشده نباید به‌عنوان توصیه مالی، حقوقی یا حرفه‌ ای تلقی شود و به منزله پیشنهاد یا تأیید رسمی از سوی MEXC نیست.