Хакеры начали атаковать криптопользователей через агрессивную рекламу обновления Windows 11 в Facebook. Фейковые объявления маскируются под официальные обновления, но на деле воруют сид-фразы от криптокошельков, логины и другие конфиденциальные данные. Кроме того, вредоносное ПО собирает сохраненные пароли и активные сессии в браузере. Хакеры продвигают фейковые обновления Windows 11 через Facebook Согласно отчету Malwarebytes, злоумышленники используют […]
Хакеры начали атаковать криптопользователей через агрессивную рекламу обновления Windows 11 в Facebook.
Фейковые объявления маскируются под официальные обновления, но на деле воруют сид-фразы от криптокошельков, логины и другие конфиденциальные данные. Кроме того, вредоносное ПО собирает сохраненные пароли и активные сессии в браузере.
Согласно отчету Malwarebytes, злоумышленники используют профессиональный брендинг Microsoft, чтобы продвигать поддельные обновления Windows 11. После клика по объявлению пользователь попадает на клонированный сайт Microsoft с доменным именем, которое имитирует официальные адреса компании.
Хакеры применяют геофенсинг. Это метод, при котором атака нацелена на обычных пользователей, подключающихся из дома или офиса. IP-адреса дата-центров при этом игнорируются. Такой подход помогает скрываться от автоматических систем обнаружения.
Если пользователь проходит проверку геофенсинга, ему предлагается вредоносный установщик. Он размещен на GitHub и скачивается с защищенного домена с сертификатом безопасности. За счет этого вирус выглядит как легитимный файл Microsoft.
Сам установщик оснащен механизмом уклонения от анализа. Он проверяет систему на наличие виртуальных машин и инструментов для исследования вредоносного кода и при их обнаружении прекращает работу. Но на компьютере обычного пользователя программа устанавливается и начинает заражение.
Вредоносное ПО устанавливает настоящий фреймворк в папку с названием LunarApplication. Это имя похоже на бренд криптоинструментов Lunar, что создает видимость легитимности для криптопользователей. На деле программа ищет файлы криптокошельков и сид-фразы, после чего отправляет данные хакерам.
Кампании с вредоносной рекламой в Facebook продолжаются уже долгое время и остаются незамеченными благодаря продвинутым методам обхода защиты, включая геофенсинг.
Это не первый случай, когда хакеры используют рекламу в Facebook для кражи данных криптокошельков. В прошлом году злоумышленники воспользовались ежегодным событием Pi2Day и запустили масштабные рекламные кампании с вредоносным содержанием, нацеленные на криптопользователей.
Pi2Day отмечается сообществом Pi Network 28 июня. Во время прошлогоднего события хакеры разместили 140 фейковых объявлений с использованием бренда Pi Network. Пользователей перенаправляли на фишинговые сайты с обещаниями бесплатных токенов Pi или участия в аирдропе, но взамен требовали сид-фразу восстановления.
Атака затронула пользователей из разных регионов, включая США, Европу, Австралию, Китай и Индию. Дополнительно злоумышленники заманивали жертв предложениями легкого майнинга Pi на смартфонах.
В сентябре прошлого года специалисты по кибербезопасности выявили еще одну атаку через рекламу Meta, в которой предлагался бесплатный доступ к TradingView Premium. Исследователи Bitdefender Labs обнаружили, что кампания также распространилась через Google и YouTube.
Читайте также: OKX запускает бессрочные контракты на акции HOOD, TSLA и MSTR с плечом 5x
Хакеры захватили верифицированный аккаунт YouTube и рекламный аккаунт Google, после чего запустили фейковые объявления для перенаправления пользователей на фишинговые страницы. Использование подтвержденных YouTube-аккаунтов повышает доверие и заставляет жертв переходить на сайты, маскирующиеся под легитимные.
По данным Bitdefender, одно из видео под названием «Free TradingView Premium — Secret Method They Don’t Want You to Know» набрало более 182 тыс. просмотров всего за несколько дней.
В описании ролика размещалась ссылка на вредоносный исполняемый файл. Он использовал механизм уклонения, при котором неподходящим пользователям показывалась безобидная страница. Видео было скрытым и не отображалось в поиске, что затрудняло его обнаружение и жалобы в Google.
Публичных данных о точной сумме криптовалюты, похищенной именно через фейковую рекламу, нет. Однако по данным Chainalysis, в 2025 году общий ущерб от криптоскама составил около $17 млрд.
По информации компании DeepStrike, в 2025 году мошенники заразили миллионы устройств и похитили около 1,8 млрд учетных данных. В отчете отмечается:
«Все, что связано с деньгами — онлайн-банкинг, PayPal, криптовалютные кошельки — очевидная цель для киберпреступников».
JOIN
