يحوّل المخترقون إعلانات فيسبوك إلى فخاخ لاستنزاف العملات المشفرة

يستهدف المتسللون مستخدمي العملات المشفرة من خلال إطلاق إعلانات تحديثات ويندوز 11 العدوانية على فيسبوك. 

تسرق الإعلانات المزيفة عبارات استعادة محافظ العملات الرقمية، وبيانات تسجيل الدخول، وغيرها من المعلومات الحساسة. علاوة على ذلك، يقوم البرنامج الخبيث بجمع كلمات المرور المحفوظة وجلسات التصفح.

يقوم المخترقون بالترويج لتحديثات مزيفة لنظام التشغيل ويندوز 11 على فيسبوك

بحسب تقرير، يستخدم المخترقون علامة مايكروسوفت التجارية الاحترافية للترويج لتحديث ويندوز 11 المزيف. بمجرد أن ينقر الضحية على الإعلان، يرى موقعًا إلكترونيًا مزيفًا لمايكروسوفت يحمل اسم نطاق يُحاكي نطاقات مايكروسوفت الأصلية.

يستخدم المخترقون تقنية تحديد الموقع الجغرافي، وهي تقنية تستهدف المستخدمين العاديين الذين يتصلون بالإنترنت من منازلهم أو مكاتبهم، وتتجنب عناوين IP الخاصة بمراكز البيانات. ويتم ذلك لمنع الماسحات الضوئية الآلية من كشف الهجوم.

بمجرد أن يتجاوز الضحية نطاق تحديد الموقع الجغرافي، يتلقى برنامج تثبيت خبيثًا، مُستضافًا على منصة GitHub ومُنزّلًا من نطاق آمن مزود بشهادة أمان. هذا يجعل الهجوم يبدو وكأنه تنزيل أصلي من مايكروسوفت.

يحتوي برنامج التثبيت الخبيث على آلية للتهرب تقوم بفحص الأجهزة الافتراضية وأدوات التحليل، ثم توقف التنفيذ لتجنب اكتشافها. ومع ذلك، على جهاز الضحية، يتم تثبيت البرمجية الخبيثة وتبدأ في إصابة النظام.

يقوم البرنامج الخبيث بتثبيت إطار عمل حقيقي في مجلد باسم LunarApplication. يشبه اسم المجلد اسم علامة تجارية لأدوات التشفير تُدعى Lunar. هذا يجعل البرنامج الخبيث يبدو شرعيًا لمستخدمي العملات المشفرة، ولكنه في الواقع يستهدف محافظ العملات المشفرة وعبارات الاسترداد، ويرسل البيانات إلى المخترقين.  

تستمر حملات الإعلانات الخبيثة على فيسبوك منذ فترة طويلة، وقد تجنبت الكشف عنها من خلال تقنيات التهرب المتطورة مثل تحديد الموقع الجغرافي.

تنتشر البرامج الضارة المتعلقة بالعملات المشفرة من خلال إعلانات وسائل التواصل الاجتماعي

ليست هذه المرة الأولى التي يستغل فيها قراصنة العملات الرقمية إعلانات فيسبوك لسرقة بيانات محافظ العملات الرقمية. ففي العام الماضي، استغل القراصنة فعالية Pi2Day السنوية وأطلقوا حملات إعلانية خبيثة على فيسبوك استهدفت مستخدمي العملات الرقمية. 

يحتفل مجتمع شبكة باي بحدث Pi2Day السنوي في 28 يونيو. خلال الحدث الأخير، أطلق قراصنة 140 إعلانًا مزيفًا باستخدام شعار شبكة باي. تم توجيه الضحايا إلى مواقع تصيد احتيالي تروج لرموز باي مجانية أو فعاليات توزيع مجاني، مقابل الحصول على عبارة استعادة الضحية. 

استهدفت عملية التصيد الاحتيالي ضحايا من مناطق مختلفة، بما في ذلك الولايات المتحدة وأوروبا وأستراليا والصين والهند. وقد استدرجت الضحايا من خلال تقنيات أخرى، بما في ذلك سهولة تعدين عملة باي الرقمية على الهواتف الذكية. 

في سبتمبر من العام الماضي، اكتشف باحثون في مجال الأمن السيبراني هجومًا آخر يعتمد على إعلانات ميتا للترويج للوصول المجاني إلى TradingView Premium. ووجد أن الهجوم امتد إلى إعلانات جوجل ويوتيوب.

استغلّ المخترقون حسابًا موثقًا على يوتيوب وحسابًا إعلانيًا على جوجل، وأطلقوا إعلانات وهمية لإعادة توجيه الضحايا وسرقة معلوماتهم. عادةً ما يؤدي استغلال حسابات يوتيوب الموثقة إلى استدراج الضحايا غير المتوقعين إلى مواقع إلكترونية خبيثة تتظاهر بأنها مواقع شرعية.

وفقًا لشركة Bitdefender، تمت مشاهدة أحد إعلانات الفيديو المزيفة بعنوان "Free TradingView Premium – Secret Method They Don't Want You to Know" أكثر من 182000 مرة في غضون أيام قليلة.

يحتوي وصف الفيديو على رابط لملف تنفيذي خبيث. ويستخدم هذا الملف أسلوبًا للتمويه يُظهر للمستخدم صفحةً غير ضارة إذا لم يتعرف عليه المهاجمون كهدف مشروع. لم يكن الفيديو مُدرجًا في نتائج البحث، مما يجعله غير قابل للبحث ويصعب الإبلاغ عنه إلى جوجل.

لا يوجد تقرير علني يحدد بدقة إجمالي قيمة العملات المشفرة المسروقة تحديدًا عبر الإعلانات المزيفة. مع ذلك، تشير التقديرات إلى أن 17 مليار دولار قد فُقدت نتيجة عمليات الاحتيال في العملات المشفرة عام 2025، استنادًا إلى بيانات شركة Chainalysis.

أصابت برمجية Infostealer الخبيثة ملايين الأجهزة وسرقت حوالي 1.8 مليارdentفي عام 2025، وفقًا لشركة الأمن السيبراني DeepStrike. وجاء في التقرير: "أي شيء مرتبط بالمال، كالخدمات المصرفية عبر الإنترنت، أو PayPal، أو محافظ العملات المشفرة، يُعد هدفًا ثمينًا للمجرمين الإلكترونيين".