Des pirates informatiques transforment les publicités Facebook en pièges à cryptomonnaies

Des pirates informatiques ciblent les utilisateurs de cryptomonnaies en diffusant des publicités agressives pour la mise à jour de Windows 11 sur Facebook. 

Les fausses publicités dérobent les phrases de récupération des portefeuilles crypto, les identifiants de connexion et d'autres informations sensibles. De plus, le logiciel malveillant récupère les mots de passe enregistrés et les sessions de navigation.

Des pirates informatiques font la promotion de fausses mises à jour de Windows 11 sur Facebook

D'après un rapport, des pirates informatiques utilisent l'identité visuelle de Microsoft pour promouvoir une fausse mise à jour de Windows 11. Lorsqu'une victime clique sur la publicité, elle est redirigée vers un site web Microsoft cloné, dont le nom de domaine imite celui de Microsoft.

Les pirates utilisent le géorepérage, une technique qui cible les utilisateurs se connectant depuis leur domicile ou leur bureau, en évitant les adresses IP des centres de données. Ceci afin d'empêcher les scanners automatisés de détecter l'attaque.

Une fois la victime autorisée à utiliser le service de géorepérage, elle reçoit un programme d'installation malveillant hébergé sur GitHub et téléchargé depuis un domaine sécurisé doté d'un certificat de sécurité. L'attaque est ainsi confondue avec un téléchargement Microsoft authentique.

Le programme d'installation malveillant est doté d'un mécanisme d'évasion qui détecte les machines virtuelles et les outils d'analyse, puis interrompt son exécution pour éviter d'être détecté. Cependant, sur l'ordinateur de la victime, le logiciel malveillant s'installe et commence à infecter le système.

Le logiciel malveillant installe un véritable framework dans un dossier nommé LunarApplication. Ce nom de dossier est similaire à celui d'une marque d'outils cryptographiques appelée Lunar. Cela donne au logiciel malveillant une apparence légitime auprès des utilisateurs de cryptomonnaies, mais en réalité, il cible de portefeuilles cryptographiques et les phrases de récupération, puis envoie ces données aux pirates informatiques.  

Ces campagnes publicitaires malveillantes sur Facebook sont en cours depuis longtemps et ont échappé à la détection grâce à des techniques d'évasion sophistiquées telles que le géorepérage.

Les logiciels malveillants de cryptomonnaie se propagent via les publicités sur les réseaux sociaux

Ce n'est pas la première fois que des pirates informatiques utilisent les publicités Facebook pour voler des données de portefeuilles de cryptomonnaies. L'année dernière, ils ont profité de l'événement annuel Pi2Day pour lancer des campagnes publicitaires malveillantes sur Facebook, ciblant les utilisateurs de cryptomonnaies. 

L'événement annuel Pi2Day est célébré par la communauté Pi Network le 28 juin. Lors de la dernière édition, des pirates informatiques ont diffusé 140 fausses publicités utilisant la marque Pi Network. Les victimes étaient redirigées vers des sites d'hameçonnage proposant des jetons Pi gratuits ou des airdrops, en échange de leur phrase de récupération. 

L'attaque de phishing ciblait des victimes dans diverses régions, notamment aux États-Unis, en Europe, en Australie, en Chine et en Inde. Elle attirait les victimes grâce à d'autres techniques, comme le minage facile de jetons Pi sur smartphones. 

En septembre dernier, des chercheurs en cybersécurité ont découvert une nouvelle attaque ciblant les publicités Meta et promouvant un accès gratuit à TradingView Premium. Les chercheurs de Bitdefender Labs ont constaté que cette attaque s'étendait aux publicités Google et YouTube.

Des pirates informatiques ont piraté un compte YouTube vérifié et un compte publicitaire Google, puis ont diffusé de fausses publicités pour rediriger les victimes et leur soutirer leurs informations. L'utilisation abusive de comptes YouTube vérifiés attire généralement les victimes sans méfiance vers des sites web malveillants se faisant passer pour des sites légitimes.

Selon Bitdefender, l'une des fausses publicités vidéo intitulée « TradingView Premium gratuit – Méthode secrète qu'ils ne veulent pas que vous connaissiez » a été visionnée plus de 182 000 fois en quelques jours.

La description de la vidéo contient un lien vers le fichier exécutable malveillant. Ce dernier utilise une technique d'évasion qui permet à l'utilisateur d'accéder à une page inoffensive si les attaquants ne le reconnaissent pas comme une cible légitime. La vidéo n'étant pas répertoriée, elle est introuvable et il est difficile de la signaler à Google.

Il n'existe aucun rapport public recensant le montant total des cryptomonnaies volées spécifiquement par le biais de fausses publicités. Cependant, selon les données de Chainalysis, les pertes liées aux arnaques aux cryptomonnaies en 2025 sont estimées à 17 milliards de dollars.

le logiciel malveillant Infostealer a infecté des millions d'appareils et dérobé environ 1,8 milliard de dollarsdent2025. « Tout ce qui est lié à de l'argent, comme les services bancaires en ligne, PayPal ou les portefeuilles de cryptomonnaies, est évidemment très prisé des cybercriminels », indique le rapport.