Hackers estão visando usuários de criptomoedas por meio de anúncios agressivos de atualização do Windows 11 no Facebook.
Os anúncios falsos roubam frases-semente de carteiras de criptomoedas, dados de login e outras informações confidenciais. Além disso, o malware coleta senhas salvas e sessões de navegador.
Hackers promovem atualizações falsas do Windows 11 no Facebook
De acordo com um relatório , hackers usam a marca profissional da Microsoft para promover a atualização falsa do Windows 11. Quando a vítima clica no anúncio, ela é redirecionada para um site clonado da Microsoft com um nome de domínio que imita os domínios legítimos da empresa.
Os hackers usam geofencing, uma técnica que visa usuários comuns que se conectam à internet de casa ou do escritório, evitando endereços IP de data centers. Isso é feito para impedir que scanners automatizados detectem o ataque.
Assim que a vítima ultrapassa o limite geográfico, ela recebe um instalador malicioso, hospedado no GitHub e baixado de um domínio seguro com certificado de segurança. Isso faz com que o ataque pareça um download legítimo da Microsoft.
O instalador malicioso possui um mecanismo de evasão que busca máquinas virtuais e ferramentas de análise, interrompendo a execução para evitar a detecção. No entanto, no computador da vítima, o malware se instala e começa a infectar o sistema.
O malware instala um framework legítimo em uma pasta chamada LunarApplication. O nome da pasta é semelhante ao de uma marca de ferramentas de criptografia chamada Lunar. Isso faz com que o malware pareça legítimo para usuários de criptomoedas, mas, na realidade, ele visa de carteiras de criptomoedas e frases-semente, enviando os dados para hackers.
As campanhas publicitárias maliciosas no Facebook estão em execução há muito tempo e evitaram a detecção por meio de técnicas sofisticadas de evasão, como o geofencing.
Esta não é a primeira vez que hackers de criptomoedas utilizam anúncios do Facebook para roubar dados de carteiras de criptomoedas. No ano passado, hackers se aproveitaram do evento anual Pi2Day e lançaram campanhas publicitárias maliciosas no Facebook direcionadas a usuários de criptomoedas.
O evento anual Pi2Day é celebrado pela comunidade Pi Network em 28 de junho. Durante o último evento, hackers lançaram 140 anúncios falsos usando a marca Pi Network. As vítimas foram redirecionadas para sites de phishing que promoviam tokens Pi gratuitos ou eventos de airdrop, em troca da frase de recuperação da vítima.
O ataque de phishing teve como alvo vítimas de várias regiões, incluindo os EUA, Europa, Austrália, China e Índia. As vítimas foram atraídas por meio de outras técnicas, incluindo a mineração fácil de tokens Pi em smartphones.
Em setembro do ano passado, pesquisadores de segurança cibernética descobriram outro ataque baseado em Meta Ads que promovia acesso gratuito ao TradingView Premium. Pesquisadores do Bitdefender Labs descobriram que o ataque se espalhou para anúncios do Google e do YouTube.
Os hackers invadiram uma conta verificada do YouTube e uma conta de anunciante do Google e veicularam anúncios falsos para redirecionar as vítimas e obter suas informações por meio de phishing. O abuso de contas verificadas do YouTube geralmente atrai vítimas desavisadas para sites maliciosos que se passam por sites legítimos.
Segundo a Bitdefender, um dos anúncios em vídeo falsos intitulado "TradingView Premium grátis - Método secreto que eles não querem que você saiba" foi visualizado mais de 182.000 vezes em poucos dias.
A descrição do vídeo inclui um link para o executável malicioso. Ele apresenta uma técnica de evasão que faz com que o usuário veja uma página inofensiva caso os atacantes não o reconheçam como um alvo válido. O vídeo não está listado, o que o torna impossível de ser encontrado em buscas e dificulta sua denúncia ao Google .
Não existe um relatório público que especifique o valor total de criptomoedas roubadas especificamente por meio de anúncios falsos. No entanto, estima-se que US$ 17 bilhões foram perdidos em golpes com criptomoedas em 2025, com base em dados da Chainalysis.
O malware Infostealer afetou milhões de dispositivos e roubou cerca de 1,8 bilhão de credenciais dent 2025, de acordo com a empresa de cibersegurança DeepStrike. "Qualquer coisa relacionada a dinheiro, como bancos online, PayPal e carteiras de criptomoedas, é obviamente muito valorizada por cibercriminosos", afirmou o relatório.
