Хакеры используют рекламу в Facebook для кражи криптоактивов
Хакеры начали атаковать криптопользователей через агрессивную рекламу обновления Windows 11 в Facebook.
Фейковые объявления маскируются под официальные обновления, но на деле воруют сид-фразы от криптокошельков, логины и другие конфиденциальные данные. Кроме того, вредоносное ПО собирает сохраненные пароли и активные сессии в браузере.
Хакеры продвигают фейковые обновления Windows 11 через Facebook
Согласно отчету Malwarebytes, злоумышленники используют профессиональный брендинг Microsoft, чтобы продвигать поддельные обновления Windows 11. После клика по объявлению пользователь попадает на клонированный сайт Microsoft с доменным именем, которое имитирует официальные адреса компании.
Хакеры применяют геофенсинг. Это метод, при котором атака нацелена на обычных пользователей, подключающихся из дома или офиса. IP-адреса дата-центров при этом игнорируются. Такой подход помогает скрываться от автоматических систем обнаружения.
Если пользователь проходит проверку геофенсинга, ему предлагается вредоносный установщик. Он размещен на GitHub и скачивается с защищенного домена с сертификатом безопасности. За счет этого вирус выглядит как легитимный файл Microsoft.
Сам установщик оснащен механизмом уклонения от анализа. Он проверяет систему на наличие виртуальных машин и инструментов для исследования вредоносного кода и при их обнаружении прекращает работу. Но на компьютере обычного пользователя программа устанавливается и начинает заражение.
Вредоносное ПО устанавливает настоящий фреймворк в папку с названием LunarApplication. Это имя похоже на бренд криптоинструментов Lunar, что создает видимость легитимности для криптопользователей. На деле программа ищет файлы криптокошельков и сид-фразы, после чего отправляет данные хакерам.
Кампании с вредоносной рекламой в Facebook продолжаются уже долгое время и остаются незамеченными благодаря продвинутым методам обхода защиты, включая геофенсинг.
Вредоносное ПО для кражи криптовалют распространяется через рекламу в соцсетях
Это не первый случай, когда хакеры используют рекламу в Facebook для кражи данных криптокошельков. В прошлом году злоумышленники воспользовались ежегодным событием Pi2Day и запустили масштабные рекламные кампании с вредоносным содержанием, нацеленные на криптопользователей.
Pi2Day отмечается сообществом Pi Network 28 июня. Во время прошлогоднего события хакеры разместили 140 фейковых объявлений с использованием бренда Pi Network. Пользователей перенаправляли на фишинговые сайты с обещаниями бесплатных токенов Pi или участия в аирдропе, но взамен требовали сид-фразу восстановления.
Атака затронула пользователей из разных регионов, включая США, Европу, Австралию, Китай и Индию. Дополнительно злоумышленники заманивали жертв предложениями легкого майнинга Pi на смартфонах.
В сентябре прошлого года специалисты по кибербезопасности выявили еще одну атаку через рекламу Meta, в которой предлагался бесплатный доступ к TradingView Premium. Исследователи Bitdefender Labs обнаружили, что кампания также распространилась через Google и YouTube.
Читайте также: OKX запускает бессрочные контракты на акции HOOD, TSLA и MSTR с плечом 5x
Хакеры захватили верифицированный аккаунт YouTube и рекламный аккаунт Google, после чего запустили фейковые объявления для перенаправления пользователей на фишинговые страницы. Использование подтвержденных YouTube-аккаунтов повышает доверие и заставляет жертв переходить на сайты, маскирующиеся под легитимные.
По данным Bitdefender, одно из видео под названием «Free TradingView Premium — Secret Method They Don’t Want You to Know» набрало более 182 тыс. просмотров всего за несколько дней.
В описании ролика размещалась ссылка на вредоносный исполняемый файл. Он использовал механизм уклонения, при котором неподходящим пользователям показывалась безобидная страница. Видео было скрытым и не отображалось в поиске, что затрудняло его обнаружение и жалобы в Google.
Публичных данных о точной сумме криптовалюты, похищенной именно через фейковую рекламу, нет. Однако по данным Chainalysis, в 2025 году общий ущерб от криптоскама составил около $17 млрд.
По информации компании DeepStrike, в 2025 году мошенники заразили миллионы устройств и похитили около 1,8 млрд учетных данных. В отчете отмечается:
«Все, что связано с деньгами — онлайн-банкинг, PayPal, криптовалютные кошельки — очевидная цель для киберпреступников».