Hakerzy rozpowszechniają malware kradnący kryptowaluty przez reklamy na Facebooku

Hakerzy atakują użytkowników kryptowalut poprzez agresywne reklamy aktualizacji Windows 11 na Facebooku. 

Fałszywe reklamy kradną frazy seedowe portfeli kryptowalutowych, dane logowania i inne wrażliwe informacje. Ponadto malware zbiera zapisane hasła i sesje przeglądarki.

Hakerzy promują fałszywe aktualizacje Windows 11 na Facebooku

Według raportu Malwarebytes, hakerzy używają profesjonalnego brandingu Microsoft do promowania fałszywej aktualizacji Windows 11. Gdy ofiara kliknie reklamę, widzi sklonowaną stronę Microsoft z nazwą domeny naśladującą legalne domeny Microsoft.

Hakerzy stosują geofencing, czyli technikę celującą w zwykłych użytkowników łączących się z domowego internetu lub biur, która omija adresy IP z centrów danych. Ma to na celu zatrzymanie automatycznych skanerów przed wykryciem ataku.

Gdy ofiara przejdzie geofencing, otrzymuje złośliwy instalator, który jest hostowany na GitHub i pobierany z bezpiecznej domeny z certyfikatem bezpieczeństwa. To sprawia, że atak wygląda jak prawdziwe pobieranie z Microsoft.

Złośliwy instalator posiada mechanizm omijania, który skanuje w poszukiwaniu maszyn wirtualnych i narzędzi analitycznych i zatrzymuje wykonywanie, aby uniknąć wykrycia. Jednak na komputerze ofiary malware instaluje się i zaczyna infekować system.

Malware instaluje prawdziwy framework w folderze o nazwie LunarApplication. Nazwa folderu jest podobna do marki narzędzi kryptowalutowych o nazwie Lunar. To sprawia, że malware wygląda legalnie dla użytkowników kryptowalut, ale w rzeczywistości atakuje pliki portfeli kryptowalutowych i frazy seedowe oraz wysyła dane do hakerów.  

Złośliwe kampanie reklamowe na Facebooku trwają od dłuższego czasu i unikały wykrycia dzięki zaawansowanym technikom omijania, takim jak geofencing.

Malware kryptowalutowy rozprzestrzenia się przez reklamy w mediach społecznościowych

To nie pierwszy raz, gdy hakerzy kryptowalutowi wykorzystali reklamy na Facebooku do kradzieży danych portfeli kryptowalutowych. W zeszłym roku hakerzy wykorzystali coroczne wydarzenie Pi2Day i uruchomili złośliwe kampanie reklamowe na Facebooku celujące w użytkowników kryptowalut. 

Coroczne wydarzenie Pi2Day jest obchodzone przez społeczność Pi Network 28 czerwca. Podczas ostatniego wydarzenia hakerzy uruchomili 140 fałszywych reklam używających brandingu Pi Network. Ofiary były przekierowywane na strony phishingowe, które promowały darmowe tokeny Pi lub wydarzenia airdrop, ale w zamian za frazę odzyskiwania ofiary. 

Atak phishingowy celował w ofiary z różnych regionów, w tym USA, Europy, Australii, Chin i Indii. Wabił ofiary za pomocą innych technik, w tym łatwego wydobywania tokenów Pi na smartfonach. 

We wrześniu zeszłego roku badacze cyberbezpieczeństwa odkryli kolejny atak oparty na reklamach Meta promujący darmowy dostęp do TradingView Premium. Badacze z Bitdefender Labs odkryli, że atak rozprzestrzenił się na reklamy Google i YouTube.

Hakerzy przejęli zweryfikowane konto YouTube i konto reklamodawcy Google i uruchomili fałszywe reklamy, aby przekierować ofiary i wyłudzić ich informacje. Nadużywanie zweryfikowanych kont YouTube zwykle wabi niczego niepodejrzewające ofiary na złośliwe strony internetowe podszywające się pod legalne.

Według Bitdefender, jedna z fałszywych reklam wideo zatytułowana „Darmowe TradingView Premium – Sekretna Metoda, O Której Nie Chcą Abyś Wiedział" została obejrzana ponad 182 000 razy w ciągu kilku dni.

Opis wideo zawiera link do złośliwego pliku wykonywalnego. Zawiera technikę omijania, która powoduje, że użytkownik widzi nieszkodliwą stronę, jeśli atakujący nie rozpoznają go jako ważnego celu. Wideo było ukryte, co czyni je niemożliwym do wyszukania i trudnym do zgłoszenia Google.

Nie ma publicznego raportu izolującego całkowitą kwotę kryptowaluty skradzionej specjalnie poprzez fałszywe reklamy. Jednak szacuje się, że 17 miliardów dolarów zostało utraconych w wyniku oszustw kryptowalutowych w 2025 roku na podstawie danych Chainalysis.

Malware typu infostealer dotknął miliony urządzeń i ukradł około 1,8 miliarda danych uwierzytelniających w 2025 roku, według firmy cyberbezpieczeństwa DeepStrike. „Wszystko, co ma pieniądze związane z bankowością internetową, PayPal, portfelami kryptowalutowymi jest oczywiście cenione przez cyberprzestępców," stwierdził raport.

Dołącz do premium społeczności handlu kryptowalutami za darmo przez 30 dni - normalnie 100 USD/miesiąc.