Хакеры атакуют пользователей криптовалют, запуская агрессивную рекламу обновления Windows 11 в Facebook.
Поддельные рекламные объявления крадут сид-фразы криптокошельков, данные для входа и другую конфиденциальную информацию. Кроме того, вредоносное ПО собирает сохраненные пароли и данные о сессиях браузера.
Хакеры распространяют поддельные обновления Windows 11 в Facebook
Согласно отчету , хакеры используют профессиональный брендинг Microsoft для продвижения поддельного обновления Windows 11. После того, как жертва переходит по рекламному объявлению, она видит клонированный веб-сайт Microsoft с доменным именем, имитирующим легитимные домены Microsoft.
Хакеры используют геозонирование — метод, нацеленный на обычных пользователей, подключающихся к интернету из дома или офиса, и исключающий IP-адреса центров обработки данных. Это делается для того, чтобы автоматические сканеры не смогли обнаружить атаку.
После прохождения геозонирования жертва получает вредоносный установщик, размещенный на GitHub и загружаемый с защищенного домена с сертификатом безопасности. Это создает видимость атаки, имитирующей загрузку настоящего продукта Microsoft.
Вредоносная программа установки имеет механизм обхода, который сканирует виртуальные машины и инструменты анализа и останавливает выполнение, чтобы избежать обнаружения. Однако на компьютере жертвы вредоносное ПО устанавливается и начинает заражать систему.
Вредоносная программа устанавливает реальный фреймворк в папку с именем LunarApplication. Название папки похоже на название криптоинструментария Lunar. Это создает впечатление легитимности вредоносной программы для пользователей криптовалют, но на самом деле она нацелена на криптокошельков и сид-фразы, а затем отправляет данные хакерам.
Вредоносные рекламные кампании в Facebook действуют уже давно и избегают обнаружения благодаря сложным методам обхода, таким как геозонирование.
Это не первый случай, когда криптохакеры используют рекламу в Facebook для кражи данных криптокошельков. В прошлом году хакеры воспользовались ежегодным мероприятием Pi2Day и запустили вредоносные рекламные кампании в Facebook, нацеленные на пользователей криптовалют.
Ежегодное мероприятие Pi2Day отмечается сообществом Pi Network 28 июня. Во время последнего мероприятия хакеры запустили 140 поддельных рекламных объявлений, используя бренд Pi Network. Жертвы перенаправлялись на фишинговые сайты, которые рекламировали бесплатные токены Pi или аирдропы, но в обмен на фразу восстановления.
Фишинговая атака была направлена на жертв из различных регионов, включая США, Европу, Австралию, Китай и Индию. Жертв заманивали с помощью других методов, в том числе путем легкого майнинга токенов Pi на смартфонах.
В сентябре прошлого года исследователи кибербезопасности обнаружили еще одну атаку на основе MetaAds, предлагающую бесплатный доступ к TradingView Premium. Исследователи из Bitdefender Labs установили , что атака распространилась на рекламу в Google и YouTube.
Хакеры взломали подтвержденный аккаунт YouTube и аккаунт рекламодателя Google и запустили поддельные рекламные объявления, чтобы перенаправить жертв и украсть их данные. Злоупотребление подтвержденными аккаунтами YouTube обычно заманивает ничего не подозревающих жертв на вредоносные веб-сайты, маскирующиеся под легитимные.
По данным Bitdefender, один из фейковых видеороликов под названием «Бесплатная подписка TradingView Premium – секретный метод, о котором они не хотят, чтобы вы знали» был просмотрен более 182 000 раз за несколько дней.
В описании видео содержится ссылка на вредоносный исполняемый файл. В нем описывается метод обхода защиты, который заставляет пользователя видеть безобидную страницу, если злоумышленники не распознают его как действительную цель. Видео было скрыто от публичного доступа, что делает его недоступным для поиска и затрудняет сообщение о нем в Google .
В открытом доступе нет данных, точно определяющих общую сумму украденной криптовалюты именно через фейковую рекламу. Однако, по данным Chainalysis, в 2025 году из-за криптомошенничества было потеряно около 17 миллиардов долларов.
вредоносная программа Infostealer поразила миллионы устройств и украла около 1,8 миллиарда учетных dent в 2025 году. «Все, что связано с деньгами и привязано к онлайн-банкингу, PayPal, криптовалютным кошелькам, очевидно, высоко ценится киберпреступниками», — говорится в отчете.
