โฆษณา Facebook ปลอมแอบอ้างเป็น Windows 11 ถูกใช้ขโมย Crypto ในแคมเปญมัลแวร์ที่ใช้งานอยู่

การดำเนินการนี้ซึ่งถูกเปิดเผยในเดือนกุมภาพันธ์ 2026 โดยนักวิจัยจาก PCMag และ Malwarebytes ใช้โฆษณาที่มีธีม Microsoft ที่น่าเชื่อถือเพื่อหลอกผู้ใช้ให้ติดตั้งซอฟต์แวร์ที่เป็นอันตรายซึ่งออกแบบมาเพื่อล้างกระเป๋าคริปโต

ผู้โจมตีดูเหมือนจะมุ่งเป้าไปที่ผู้ใช้ที่ยังไม่ได้อัปเกรดเป็น Windows 11 และอาจกำลังค้นหาตัวเลือกการอัปเกรดอย่างแข็งขันหลังจากกำหนดเวลาสิ้นสุดการสนับสนุนสำหรับ Windows 10

การหลอกลวงทำงานอย่างไร

แคมเปญเริ่มต้นด้วยโฆษณาแบบชำระเงินบน Facebook ที่มีแบรนด์และข้อความของ Microsoft อย่างมืออาชีพเสนอการอัปเกรด Windows 11 "ฟรี" หรือ "เร็ว" โฆษณาเหล่านี้เปลี่ยนเส้นทางผู้ใช้ไปยังเว็บไซต์ปลอมที่เลียนแบบหน้าดาวน์โหลดอย่างเป็นทางการของ Microsoft อย่างใกล้เคียง โดเมนปลอมบางส่วนยังอ้างอิงถึง "25H2" เพื่อให้ดูทันสมัยและน่าเชื่อถือ

เหยื่อถูกแจ้งให้ดาวน์โหลดไฟล์ซึ่งมักมีชื่อว่า "ms-update32.exe" โดยปกติมีขนาดประมาณ 75 MB ตัวติดตั้งถูกโฮสต์บนที่เก็บข้อมูลที่ผู้โจมตีควบคุม รวมถึงโปรเจกต์ที่โคลนบน GitHub ทำให้มีชั้นความถูกต้องตามการรับรู้เพิ่มเติม

ในบางรูปแบบ ผู้โจมตีก้าวไปไกลกว่านั้นโดยใช้พรอมต์ CAPTCHA ปลอม ผู้ใช้ได้รับคำแนะนำให้กด Windows + R วางคำสั่งลงในกล่องโต้ตอบ Run และรันโค้ด PowerShell ที่เป็นอันตรายด้วยตนเอง เทคนิคทางสังคมวิทยานี้ข้ามคำเตือนการดาวน์โหลดแบบดั้งเดิมและเพิ่มโอกาสของการติดเชื้อ

"LunarApplication" Infostealer มุ่งเป้าไปที่สินทรัพย์คริปโต

เมื่อติดตั้งแล้ว มัลแวร์จะปรับใช้ infostealer ที่ซ่อนอยู่ในโฟลเดอร์ชื่อ "LunarApplication" ชื่อดูเหมือนถูกเลือกโดยเจตนาให้คล้ายกับเครื่องมือที่เกี่ยวข้องกับคริปโตที่ถูกต้อง ลดความสงสัยในหมู่ผู้ถือสินทรัพย์ดิจิทัล

เป้าหมายหลักของมัลแวร์คือการสกัดข้อมูล มันสแกนระบบเพื่อหา:

• seed phrases ของกระเป๋าคริปโตเคอเรนซี
• ข้อมูลรับรองการเข้าสู่ระบบของแลกเปลี่ยน
• รหัสผ่านเบราว์เซอร์ที่บันทึกไว้
• คุกกี้เซสชันที่ใช้งานอยู่

ด้วยการเข้าถึง seed phrases หรือเซสชันที่ผ่านการตรวจสอบแล้ว ผู้โจมตีสามารถโอนเงินออกจากกระเป๋าของเหยื่อได้อย่างรวดเร็วก่อนที่พวกเขาจะรู้ตัวถึงสิ่งที่เกิดขึ้น

เทคนิคการหลบหลีกขั้นสูง

นักวิจัยกล่าวว่าแคมเปญนี้ใช้กลยุทธ์ที่ซับซ้อนหลายอย่างเพื่อหลีกเลี่ยงการตรวจจับ

Geofencing เป็นหนึ่งในการป้องกันหลัก หากเว็บไซต์ที่เป็นอันตรายตรวจพบการเข้าชมจากศูนย์ข้อมูล VPN ที่นักวิจัยใช้กันทั่วไป หรือช่วง IP ของเครื่องสแกนความปลอดภัยที่รู้จัก มันจะเปลี่ยนเส้นทางผู้เยี่ยมชมไปยังหน้าแรกของ Google แทนที่จะให้บริการ payload

ตัวติดตั้งยังตรวจสอบเครื่องเสมือนและสภาพแวดล้อมการวิเคราะห์ หากตรวจพบว่ากำลังทำงานภายใน sandbox หรือระบบที่ได้รับการตรวจสอบ มันจะปฏิเสธที่จะรัน

สำหรับความคงทน มัลแวร์ฝังตัวเองใน Windows registry ภายใต้เส้นทาง HKEY_LOCAL_MACHINE\SYSTEM\Software\Microsoft\TIP\AggregateResults ทำให้สามารถอยู่รอดจากการรีบูตระบบและเก็บเกี่ยวข้อมูลที่ละเอียดอ่อนต่อไป

สิ่งที่ผู้ใช้ควรทำ

ผู้เชี่ยวชาญด้านความปลอดภัยเน้นว่า Microsoft ไม่ได้โปรโมตการอัปเกรดระบบปฏิบัติการผ่านโฆษณาโซเชียลมีเดีย การอัปเดตที่ถูกต้องจะถูกส่งมอบผ่านฟีเจอร์ Windows Update ที่มีอยู่แล้วในการตั้งค่าระบบเท่านั้น

ผู้ใช้ที่คลิกโฆษณาที่น่าสงสัยหรือดาวน์โหลดไฟล์ควรทำการสแกนระบบแบบเต็มทันทีโดยใช้ซอฟต์แวร์ป้องกันไวรัสที่มีชื่อเสียง เช่น Malwarebytes Free Scanner

สำหรับผู้ถือคริปโตเคอเรนซี คำแนะนำจะเร่งด่วนยิ่งขึ้น หากสงสัยว่าอุปกรณ์ถูกบุกรุก เงินทุนควรถูกย้ายไปยังกระเป๋าใหม่ที่สร้างขึ้นบนอุปกรณ์ที่แยกต่างหากและสะอาด ต้องสร้าง seed phrase ใหม่ เนื่องจาก phrase ที่ถูกเปิดเผยก่อนหน้านี้ควรถือว่าถูกบุกรุกอย่างถาวร

เมื่อการยอมรับคริปโตเติบโต ผู้โจมตีกำลังผสมผสานกลยุทธ์มัลแวร์แบบดั้งเดิมกับการขโมยสินทรัพย์ดิจิทัลมากขึ้น แคมเปญล่าสุดนี้เน้นย้ำว่าวิศวกรรมสังคม เมื่อรวมกับแบรนด์ที่ขัดเงาและการหลบหลีกทางเทคนิค สามารถเปลี่ยน "การอัปเดตระบบ" ง่ายๆ ให้กลายเป็นประตูสู่การสูญเสียทางการเงินได้

ข้อมูลที่ให้ไว้ในบทความนี้มีวัตถุประสงค์เพื่อการศึกษาเท่านั้นและไม่ถือเป็นคำแนะนำทางการเงิน การลงทุน หรือการซื้อขาย Coindoo.com ไม่สนับสนุนหรือแนะนำกลยุทธ์การลงทุนหรือคริปโตเคอเรนซีใดโดยเฉพาะ ทำการวิจัยด้วยตัวเองเสมอและปรึกษากับที่ปรึกษาทางการเงินที่ได้รับใบอนุญาตก่อนตัดสินใจลงทุนใดๆ

โพสต์ Fake Windows 11 Facebook Ads Used to Steal Crypto in Active Malware Campaign ปรากฏครั้งแรกบน Coindoo