Gli hacker trasformano gli annunci di Facebook in trappole per il depredamento delle criptovalute

Gli hacker prendono di mira gli utenti di criptovalute lanciando annunci aggressivi per l'aggiornamento di Windows 11 su Facebook. 

Gli annunci falsi rubano le seed phrase dei wallet di criptovalute, i dati di accesso e altre informazioni sensibili. Inoltre, il malware raccoglie password e sessioni del browser salvate.

Gli hacker promuovono falsi aggiornamenti di Windows 11 su Facebook

Secondo un rapporto, gli hacker sfruttano il marchio professionale Microsoft per promuovere il falso aggiornamento di Windows 11. Una volta che la vittima clicca sulla pubblicità, visualizza un sito web Microsoft clonato con un nome di dominio che imita i domini Microsoft legittimi.

Gli hacker utilizzano il geofencing, una tecnica che prende di mira gli utenti abituali che si connettono da casa o dall'ufficio, evitando gli indirizzi IP dei data center. Questo per impedire agli scanner automatici di rivelare l'attacco.

Una volta superato il geofencing, la vittima riceve un programma di installazione dannoso, ospitato su GitHub e scaricato da un dominio sicuro con certificato di sicurezza. Questo fa sembrare l'attacco un autentico download Microsoft.

Il programma di installazione dannoso è dotato di un meccanismo di elusione che esegue la scansione di macchine virtuali e strumenti di analisi e ne interrompe l'esecuzione per evitare il rilevamento. Tuttavia, sul computer della vittima, il malware si installa e inizia a infettare il sistema.

Il malware installa un vero e proprio framework in una cartella denominata LunarApplication. Il nome della cartella è simile a quello di un marchio di strumenti crittografici chiamato Lunar. Questo fa sembrare il malware legittimo agli utenti di criptovalute, ma in realtà prende di mira dei wallet crittografici e le seed phrase e invia i dati agli hacker.  

Le campagne pubblicitarie dannose su Facebook sono in corso da molto tempo e sono sfuggite al rilevamento grazie a sofisticate tecniche di elusione come il geofencing.

Il malware crittografico si diffonde attraverso gli annunci sui social media

Non è la prima volta che gli hacker di criptovalute utilizzano le inserzioni di Facebook per rubare dati dai wallet di criptovalute. L'anno scorso, gli hacker hanno approfittato dell'evento annuale Pi2Day e hanno lanciato campagne pubblicitarie dannose su Facebook, prendendo di mira gli utenti di criptovalute. 

L'evento annuale Pi2Day viene celebrato dalla comunità Pi Network il 28 giugno. Durante l'ultimo evento, gli hacker hanno lanciato 140 annunci falsi utilizzando il marchio Pi Network. Le vittime sono state reindirizzate a siti web di phishing che promuovevano token Pi gratuiti o eventi airdrop, ma in cambio della frase di recupero della vittima. 

L'attacco di phishing ha preso di mira vittime provenienti da diverse regioni, tra cui Stati Uniti, Europa, Australia, Cina e India. Ha attirato le vittime attraverso altre tecniche, tra cui il semplice mining di token Pi tramite smartphone. 

A settembre dello scorso anno, i ricercatori di sicurezza informatica hanno scoperto un altro attacco basato su annunci Meta che promuoveva l'accesso gratuito a TradingView Premium. I ricercatori di Bitdefender Labs hanno scoperto che l'attacco si è esteso agli annunci di Google e YouTube.

Gli hacker hanno dirottato un account YouTube verificato e un account di un inserzionista Google e hanno lanciato annunci falsi per reindirizzare le vittime e rubare le loro informazioni. L'abuso di account YouTube verificati di solito attira vittime ignare verso siti web dannosi mascherati da siti legittimi.

Secondo Bitdefender, uno dei falsi annunci video intitolato "Free TradingView Premium – Metodo segreto che non vogliono che tu conosca" è stato visualizzato più di 182.000 volte in pochi giorni.

La descrizione del video include un link al file eseguibile dannoso. Questo file utilizza una tecnica di elusione che fa sì che l'utente visualizzi una pagina innocua se gli aggressori non lo riconoscono come bersaglio valido. Il video non era in elenco, il che lo rende non reperibile tramite i motori di ricerca e difficile da segnalare a Google.

Non esiste un rapporto pubblico che specifichi l'importo totale di criptovalute rubate specificamente tramite annunci pubblicitari falsi. Tuttavia, secondo i dati di Chainalysis, nel 2025 sono stati persi circa 17 miliardi di dollari a causa di truffe legate alle criptovalute.

il malware Infostealer ha colpito milioni di dispositivi e rubato circa 1,8 miliardi di credenzialident2025. "Qualsiasi cosa collegata al denaro, come ad esempio i servizi bancari online, PayPal o i portafogli di criptovalute, è ovviamente molto ambita dai criminali informatici", si legge nel rapporto.