ประเด็นสำคัญ
การดำเนินการนี้ซึ่งถูกเปิดเผยในเดือนกุมภาพันธ์ 2026 โดยนักวิจัยจาก PCMag และ Malwarebytes ใช้โฆษณาที่มีธีม Microsoft ที่น่าเชื่อถือเพื่อหลอกผู้ใช้ให้ติดตั้งซอฟต์แวร์ที่เป็นอันตรายซึ่งออกแบบมาเพื่อล้างกระเป๋าคริปโต
ผู้โจมตีดูเหมือนจะมุ่งเป้าไปที่ผู้ใช้ที่ยังไม่ได้อัปเกรดเป็น Windows 11 และอาจกำลังค้นหาตัวเลือกการอัปเกรดอย่างแข็งขันหลังจากกำหนดเวลาสิ้นสุดการสนับสนุนสำหรับ Windows 10
แคมเปญเริ่มต้นด้วยโฆษณาแบบชำระเงินบน Facebook ที่มีแบรนด์และข้อความของ Microsoft อย่างมืออาชีพเสนอการอัปเกรด Windows 11 "ฟรี" หรือ "เร็ว" โฆษณาเหล่านี้เปลี่ยนเส้นทางผู้ใช้ไปยังเว็บไซต์ปลอมที่เลียนแบบหน้าดาวน์โหลดอย่างเป็นทางการของ Microsoft อย่างใกล้เคียง โดเมนปลอมบางส่วนยังอ้างอิงถึง "25H2" เพื่อให้ดูทันสมัยและน่าเชื่อถือ
เหยื่อถูกแจ้งให้ดาวน์โหลดไฟล์ซึ่งมักมีชื่อว่า "ms-update32.exe" โดยปกติมีขนาดประมาณ 75 MB ตัวติดตั้งถูกโฮสต์บนที่เก็บข้อมูลที่ผู้โจมตีควบคุม รวมถึงโปรเจกต์ที่โคลนบน GitHub ทำให้มีชั้นความถูกต้องตามการรับรู้เพิ่มเติม
ในบางรูปแบบ ผู้โจมตีก้าวไปไกลกว่านั้นโดยใช้พรอมต์ CAPTCHA ปลอม ผู้ใช้ได้รับคำแนะนำให้กด Windows + R วางคำสั่งลงในกล่องโต้ตอบ Run และรันโค้ด PowerShell ที่เป็นอันตรายด้วยตนเอง เทคนิคทางสังคมวิทยานี้ข้ามคำเตือนการดาวน์โหลดแบบดั้งเดิมและเพิ่มโอกาสของการติดเชื้อ
เมื่อติดตั้งแล้ว มัลแวร์จะปรับใช้ infostealer ที่ซ่อนอยู่ในโฟลเดอร์ชื่อ "LunarApplication" ชื่อดูเหมือนถูกเลือกโดยเจตนาให้คล้ายกับเครื่องมือที่เกี่ยวข้องกับคริปโตที่ถูกต้อง ลดความสงสัยในหมู่ผู้ถือสินทรัพย์ดิจิทัล
เป้าหมายหลักของมัลแวร์คือการสกัดข้อมูล มันสแกนระบบเพื่อหา:
ด้วยการเข้าถึง seed phrases หรือเซสชันที่ผ่านการตรวจสอบแล้ว ผู้โจมตีสามารถโอนเงินออกจากกระเป๋าของเหยื่อได้อย่างรวดเร็วก่อนที่พวกเขาจะรู้ตัวถึงสิ่งที่เกิดขึ้น
นักวิจัยกล่าวว่าแคมเปญนี้ใช้กลยุทธ์ที่ซับซ้อนหลายอย่างเพื่อหลีกเลี่ยงการตรวจจับ
Geofencing เป็นหนึ่งในการป้องกันหลัก หากเว็บไซต์ที่เป็นอันตรายตรวจพบการเข้าชมจากศูนย์ข้อมูล VPN ที่นักวิจัยใช้กันทั่วไป หรือช่วง IP ของเครื่องสแกนความปลอดภัยที่รู้จัก มันจะเปลี่ยนเส้นทางผู้เยี่ยมชมไปยังหน้าแรกของ Google แทนที่จะให้บริการ payload
ตัวติดตั้งยังตรวจสอบเครื่องเสมือนและสภาพแวดล้อมการวิเคราะห์ หากตรวจพบว่ากำลังทำงานภายใน sandbox หรือระบบที่ได้รับการตรวจสอบ มันจะปฏิเสธที่จะรัน
สำหรับความคงทน มัลแวร์ฝังตัวเองใน Windows registry ภายใต้เส้นทาง HKEY_LOCAL_MACHINE\SYSTEM\Software\Microsoft\TIP\AggregateResults ทำให้สามารถอยู่รอดจากการรีบูตระบบและเก็บเกี่ยวข้อมูลที่ละเอียดอ่อนต่อไป
ผู้เชี่ยวชาญด้านความปลอดภัยเน้นว่า Microsoft ไม่ได้โปรโมตการอัปเกรดระบบปฏิบัติการผ่านโฆษณาโซเชียลมีเดีย การอัปเดตที่ถูกต้องจะถูกส่งมอบผ่านฟีเจอร์ Windows Update ที่มีอยู่แล้วในการตั้งค่าระบบเท่านั้น
ผู้ใช้ที่คลิกโฆษณาที่น่าสงสัยหรือดาวน์โหลดไฟล์ควรทำการสแกนระบบแบบเต็มทันทีโดยใช้ซอฟต์แวร์ป้องกันไวรัสที่มีชื่อเสียง เช่น Malwarebytes Free Scanner
สำหรับผู้ถือคริปโตเคอเรนซี คำแนะนำจะเร่งด่วนยิ่งขึ้น หากสงสัยว่าอุปกรณ์ถูกบุกรุก เงินทุนควรถูกย้ายไปยังกระเป๋าใหม่ที่สร้างขึ้นบนอุปกรณ์ที่แยกต่างหากและสะอาด ต้องสร้าง seed phrase ใหม่ เนื่องจาก phrase ที่ถูกเปิดเผยก่อนหน้านี้ควรถือว่าถูกบุกรุกอย่างถาวร
เมื่อการยอมรับคริปโตเติบโต ผู้โจมตีกำลังผสมผสานกลยุทธ์มัลแวร์แบบดั้งเดิมกับการขโมยสินทรัพย์ดิจิทัลมากขึ้น แคมเปญล่าสุดนี้เน้นย้ำว่าวิศวกรรมสังคม เมื่อรวมกับแบรนด์ที่ขัดเงาและการหลบหลีกทางเทคนิค สามารถเปลี่ยน "การอัปเดตระบบ" ง่ายๆ ให้กลายเป็นประตูสู่การสูญเสียทางการเงินได้
ข้อมูลที่ให้ไว้ในบทความนี้มีวัตถุประสงค์เพื่อการศึกษาเท่านั้นและไม่ถือเป็นคำแนะนำทางการเงิน การลงทุน หรือการซื้อขาย Coindoo.com ไม่สนับสนุนหรือแนะนำกลยุทธ์การลงทุนหรือคริปโตเคอเรนซีใดโดยเฉพาะ ทำการวิจัยด้วยตัวเองเสมอและปรึกษากับที่ปรึกษาทางการเงินที่ได้รับใบอนุญาตก่อนตัดสินใจลงทุนใดๆ
โพสต์ Fake Windows 11 Facebook Ads Used to Steal Crypto in Active Malware Campaign ปรากฏครั้งแรกบน Coindoo

