แฮกเกอร์แพร่มัลแวร์ขโมยคริปโตผ่านโฆษณา Facebook

แฮ็กเกอร์กำลังกำหนดเป้าหมายผู้ใช้คริปโตผ่านการเปิดตัวโฆษณาอัปเดต Windows 11 อย่างก้าวร้าวบน Facebook 

โฆษณาปลอมขโมย seed phrases ของกระเป๋าคริปโต ข้อมูลการเข้าสู่ระบบ และข้อมูลที่ละเอียดอ่อนอื่นๆ นอกจากนี้ มัลแวร์ยังเก็บรวบรวมรหัสผ่านที่บันทึกไว้และเซสชันของเบราว์เซอร์

แฮ็กเกอร์โปรโมตการอัปเดต Windows 11 ปลอมบน Facebook

ตามรายงานของ Malwarebytes แฮ็กเกอร์ใช้แบรนด์ Microsoft แบบมืออาชีพเพื่อโปรโมตการอัปเดต Windows 11 ปลอม เมื่อเหยื่อคลิกโฆษณา พวกเขาจะเห็นเว็บไซต์ Microsoft ที่ถูกโคลนพร้อมชื่อโดเมนที่เลียนแบบโดเมน Microsoft ที่ถูกต้อง

แฮ็กเกอร์ใช้ geofencing ซึ่งเป็นเทคนิคที่กำหนดเป้าหมายผู้ใช้ทั่วไปที่เชื่อมต่อจากอินเทอร์เน็ตที่บ้านหรือสำนักงาน และหลีกเลี่ยงที่อยู่ IP จากศูนย์ข้อมูล สิ่งนี้ทำเพื่อหยุดตัวสแกนอัตโนมัติจากการเปิดเผยการโจมตี

เมื่อเหยื่อผ่าน geofencing พวกเขาจะได้รับตัวติดตั้งที่เป็นอันตราย ซึ่งโฮสต์บน GitHub และดาวน์โหลดจากโดเมนที่ปลอดภัยพร้อมใบรับรองความปลอดภัย สิ่งนี้ทำให้การโจมตีดูเหมือนการดาวน์โหลด Microsoft ที่แท้จริง

ตัวติดตั้งที่เป็นอันตรายมีกลไกการหลบหลีกที่สแกนหาเครื่องเสมือนและเครื่องมือวิเคราะห์ และหยุดการทำงานเพื่อหลีกเลี่ยงการตรวจจับ อย่างไรก็ตาม บนคอมพิวเตอร์ของเหยื่อ มัลแวร์จะติดตั้งและเริ่มติดเชื้อระบบ

มัลแวร์ติดตั้งเฟรมเวิร์กจริงในโฟลเดอร์ชื่อ LunarApplication ชื่อโฟลเดอร์คล้ายกับแบรนด์เครื่องมือคริปโตที่เรียกว่า Lunar สิ่งนี้ทำให้มัลแวร์ดูถูกต้องสำหรับผู้ใช้คริปโต แต่ในความเป็นจริงมันกำหนดเป้าหมายไฟล์กระเป๋าคริปโตและ seed phrases และส่งข้อมูลไปยังแฮ็กเกอร์  

แคมเปญโฆษณา Facebook ที่เป็นอันตรายได้ทำงานมาเป็นเวลานานและหลีกเลี่ยงการตรวจจับผ่านเทคนิคการหลบหลีกที่ซับซ้อนเช่น geofencing

มัลแวร์คริปโตแพร่กระจายผ่านโฆษณาโซเชียลมีเดีย

นี่ไม่ใช่ครั้งแรกที่แฮ็กเกอร์คริปโตใช้โฆษณา Facebook เพื่อขโมยข้อมูลกระเป๋าคริปโต เมื่อปีที่แล้ว แฮ็กเกอร์ใช้ประโยชน์จากงาน Pi2Day ประจำปีและเปิดตัวแคมเปญโฆษณา Facebook ที่เป็นอันตรายซึ่งกำหนดเป้าหมายผู้ใช้คริปโต 

งาน Pi2Day ประจำปีได้รับการเฉลิมฉลองโดยชุมชน Pi Network ในวันที่ 28 มิถุนายน ในระหว่างงานครั้งสุดท้าย แฮ็กเกอร์เปิดตัวโฆษณาปลอม 140 รายการโดยใช้แบรนด์ Pi Network เหยื่อถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ฟิชชิ่งที่โปรโมตโทเค็น Pi ฟรีหรือกิจกรรม airdrop แต่เพื่อแลกกับวลีการกู้คืนของเหยื่อ 

การโจมตีฟิชชิ่งกำหนดเป้าหมายเหยื่อจากภูมิภาคต่างๆ รวมถึงสหรัฐอเมริกา ยุโรป ออสเตรเลีย จีน และอินเดีย มันล่อลวงเหยื่อผ่านเทคนิคอื่นๆ รวมถึงการขุดโทเค็น Pi ที่ง่ายดายบนสมาร์ทโฟน 

ในเดือนกันยายนของปีที่แล้ว นักวิจัยด้านความปลอดภัยทางไซเบอร์ค้นพบการโจมตีอีกครั้งที่ใช้โฆษณา Meta ซึ่งโปรโมตการเข้าถึง TradingView Premium ฟรี นักวิจัยจาก Bitdefender Labs พบว่าการโจมตีแพร่กระจายไปยังโฆษณา Google และ YouTube

แฮ็กเกอร์ยึดบัญชี YouTube ที่ได้รับการยืนยันและบัญชีผู้โฆษณา Google และเปิดตัวโฆษณาปลอมเพื่อเปลี่ยนเส้นทางเหยื่อและฟิชข้อมูลของพวกเขา การใช้บัญชี YouTube ที่ได้รับการยืนยันในทางที่ผิดมักล่อลวงเหยื่อที่ไม่สงสัยไปยังเว็บไซต์ที่เป็นอันตรายที่ปลอมตัวเป็นเว็บไซต์ที่ถูกต้อง

ตาม Bitdefender โฆษณาวิดีโอปลอมหนึ่งรายการที่มีชื่อว่า "Free TradingView Premium – Secret Method They Don't Want You to Know" ถูกดูมากกว่า 182,000 ครั้งในไม่กี่วัน

คำอธิบายวิดีโอรวมลิงก์ไปยังไฟล์ปฏิบัติการที่เป็นอันตราย มันมีเทคนิคการหลบหลีกที่ทำให้ผู้ใช้เห็นหน้าที่ไม่เป็นอันตรายหากผู้โจมตีไม่รู้จักพวกเขาว่าเป็นเป้าหมายที่ถูกต้อง วิดีโอถูกยกเลิกการแสดง ซึ่งทำให้ค้นหาไม่ได้และยากที่จะรายงานไปยัง Google

ไม่มีรายงานสาธารณะที่แยกจำนวนเงินรวมของคริปโทเคอเรนซีที่ถูกขโมยโดยเฉพาะผ่านโฆษณาปลอม อย่างไรก็ตาม มีการประมาณการว่า 17 พันล้านดอลลาร์สูญเสียไปกับการหลอกลวงคริปโตในปี 2025 ตามข้อมูลของ Chainalysis

มัลแวร์ Infostealer ส่งผลกระทบต่ออุปกรณ์หลายล้านเครื่องและขโมยข้อมูลรับรองประมาณ 1.8 พันล้านรายการในปี 2025 ตามบริษัทความปลอดภัยทางไซเบอร์ DeepStrike "ทุกอย่างที่มีเงินติดอยู่กับธนาคารออนไลน์ PayPal กระเป๋าคริปโทเคอเรนซีเป็นที่ต้องการของอาชญากรไซเบอร์อย่างชัดเจน" รายงานระบุ

เข้าร่วมชุมชนการเทรดคริปโตพรีเมียมฟรีเป็นเวลา 30 วัน - ปกติ $100/เดือน