Reclame false pe Facebook pentru Windows 11 folosite pentru a fura criptomonede într-o campanie activă de malware

Operațiunea, descoperită în februarie 2026 de cercetători de la PCMag și Malwarebytes, utilizează publicitate convingătoare cu tematică Microsoft pentru a păcăli utilizatorii să instaleze software rău intenționat conceput pentru a goli portofelele crypto.

Atacatorii par să se concentreze pe utilizatorii care nu au făcut încă upgrade la Windows 11 și care ar putea căuta activ opțiuni de actualizare după sfârșitul termenului de asistență pentru Windows 10.

Cum funcționează înșelătoria

Campania începe cu reclame plătite pe Facebook care prezintă branding și mesaje profesionale Microsoft oferind o actualizare „gratuită" sau „rapidă" la Windows 11. Reclamele redirecționează utilizatorii către site-uri web contrafăcute care imită îndeaproape paginile oficiale de descărcare Microsoft. Unele dintre domeniile false fac chiar referire la „25H2" pentru a părea actuale și legitime.

Victimele sunt solicitate să descarce un fișier, adesea denumit „ms-update32.exe", de obicei de aproximativ 75 MB. Programul de instalare este găzduit pe depozite controlate de atacatori, inclusiv proiecte clonate pe GitHub, oferindu-i un nivel suplimentar de legitimitate percepută.

În unele variante, atacatorii merg mai departe folosind solicitări false CAPTCHA. Utilizatorii sunt instruiți să apese Windows + R, să lipească o comandă în dialogul Executare și să execute manual cod PowerShell rău intenționat. Acest truc de inginerie socială ocolește avertismentele tradiționale de descărcare și crește probabilitatea infecției.

Infostealer-ul „LunarApplication" vizează activele crypto

Odată instalat, malware-ul implementează un infostealer ascuns într-un folder numit „LunarApplication". Numele pare ales intenționat pentru a semăna cu instrumente legitime legate de criptomonede, reducând suspiciunile în rândul deținătorilor de active digitale.

Scopul principal al malware-ului este extragerea datelor. Acesta scanează sistemul pentru:

• Fraze seed ale portofelelor de criptomonede
• Credențiale de autentificare pentru schimburi
• Parole salvate în browser
• Cookie-uri de sesiune active

Cu acces la frazele seed sau sesiunile autentificate, atacatorii pot transfera rapid fonduri din portofelele victimelor înainte ca acestea să își dea seama ce s-a întâmplat.

Tehnici avansate de evitare

Cercetătorii spun că campania folosește mai multe tactici sofisticate pentru a evita detectarea.

Geofencing-ul este una dintre apărările cheie. Dacă site-ul web rău intenționat detectează trafic dintr-un centru de date, VPN utilizat în mod obișnuit de cercetători sau interval de IP-uri de scanere de securitate cunoscute, redirecționează vizitatorii către pagina de pornire Google în loc să furnizeze payload-ul.

Programul de instalare verifică și mașini virtuale și medii de analiză. Dacă detectează că rulează într-un sandbox sau sistem monitorizat, refuză să se execute.

Pentru persistență, malware-ul se încorporează în registrul Windows sub calea HKEY_LOCAL_MACHINE\SYSTEM\Software\Microsoft\TIP\AggregateResults, permițându-i să supraviețuiască repornirilor sistemului și să continue colectarea datelor sensibile.

Ce ar trebui să facă utilizatorii

Experții în securitate subliniază că Microsoft nu promovează actualizări ale sistemului de operare prin reclame pe rețelele sociale. Actualizările legitime sunt furnizate exclusiv prin funcția Windows Update încorporată în setările sistemului.

Utilizatorii care au dat clic pe reclame suspecte sau au descărcat fișiere ar trebui să ruleze imediat o scanare completă a sistemului folosind software antivirus de renume, cum ar fi Malwarebytes Free Scanner.

Pentru deținătorii de criptomonede, îndrumarile sunt și mai urgente. Dacă se suspectează că un dispozitiv este compromis, fondurile ar trebui mutate într-un portofel nou generat pe un dispozitiv separat, curat. Trebuie creată o nouă frază seed, deoarece orice frază expusă anterior trebuie considerată compromisă permanent.

Pe măsură ce adoptarea crypto crește, atacatorii combină din ce în ce mai mult tacticile tradiționale de malware cu furtul de active digitale. Această ultimă campanie evidențiază cum ingineria socială, combinată cu branding lustruit și evitare tehnică, poate transforma o simplă „actualizare de sistem" într-o poartă către pierderi financiare.

Informațiile furnizate în acest articol sunt doar în scop educațional și nu constituie sfaturi financiare, de investiții sau de tranzacționare. Coindoo.com nu susține și nu recomandă nicio strategie de investiții specifică sau criptomonedă. Efectuați întotdeauna propria cercetare și consultați un consilier financiar autorizat înainte de a lua orice decizii de investiții.

Articolul Reclame false pentru Windows 11 pe Facebook folosite pentru a fura criptomonede într-o campanie activă de malware a apărut prima dată pe Coindoo.