يحوّل القراصنة إعلانات فيسبوك إلى أفخاخ لسحب العملات الرقمية

تقوم هذه الإعلانات المزيفة بسرقة عبارات الاسترداد لمحافظ العملات الرقمية، وتفاصيل تسجيل الدخول، وغيرها من المعلومات الحساسة. علاوة على ذلك، يقوم البرمجيات الخبيثة بجمع كلمات المرور المحفوظة وجلسات المتصفح.

القراصنة يروجون لتحديثات Windows 11 المزيفة على Facebook

وفقًا لتقرير Malwarebytes، يستخدم القراصنة العلامة التجارية الاحترافية لـ Microsoft للترويج لتحديث Windows 11 المزيف. بمجرد أن ينقر الضحية على الإعلان، يظهر له موقع Microsoft مستنسخ يحمل اسم نطاق يحاكي نطاقات Microsoft الشرعية.

يستخدم القراصنة تقنية التسييج الجغرافي، وهي تقنية تستهدف المستخدمين العاديين الذين يتصلون من الإنترنت المنزلي أو المكاتب، وتتجنب عناوين IP القادمة من مراكز البيانات. يتم ذلك لمنع الكواشف الآلية من كشف الهجوم.

بمجرد أن يتجاوز الضحية التسييج الجغرافي، يتلقى مثبتاً خبيثاً، يتم استضافته على GitHub ويتم تحميله من نطاق آمن يحمل شهادة أمان. هذا يجعل الهجوم يبدو كأنه تنزيل شرعي من Microsoft.

يحتوي المثبت الخبيث على آلية مراوغة تقوم بفحص الأجهزة الافتراضية وأدوات التحليل وتتوقف عن التنفيذ لتجنب الاكتشاف. ومع ذلك، على جهاز الضحية، يتم تثبيت البرمجيات الخبيثة وتبدأ في إصابة النظام.

تقوم البرمجيات الخبيثة بتثبيت إطار عمل حقيقي في مجلد باسم LunarApplication. اسم المجلد مشابه لعلامة أدوات العملات الرقمية المسماة Lunar. هذا يجعل البرمجيات الخبيثة تبدو شرعية لمستخدمي العملات الرقمية، لكنها في الواقع تستهدف ملفات محافظ العملات الرقمية وعبارات الاسترداد وترسل البيانات إلى القراصنة.  

تعمل حملات الإعلانات الخبيثة على Facebook منذ فترة طويلة وتجنبت الاكتشاف من خلال تقنيات مراوغة متطورة مثل التسييج الجغرافي.

انتشار البرمجيات الخبيثة الخاصة بالعملات الرقمية عبر إعلانات وسائل التواصل الاجتماعي

هذه ليست المرة الأولى التي يستغل فيها قراصنة العملات الرقمية إعلانات Facebook لسرقة بيانات محافظ العملات الرقمية. في العام الماضي، استغل القراصنة فعالية Pi2Day السنوية وأطلقوا حملات إعلانات خبيثة على Facebook تستهدف مستخدمي العملات الرقمية. 

تحتفل مجتمع Pi Network سنويًا بفعالية Pi2Day في 28 يونيو. خلال الفعالية الأخيرة، أطلق القراصنة 140 إعلانًا مزيفًا باستخدام علامة Pi Network التجارية. تم إعادة توجيه الضحايا إلى مواقع تصيد إلكتروني تروج لرموز Pi مجانية أو فعاليات توزيع مجانية، وذلك مقابل عبارة الاسترداد الخاصة بالضحية. 

استهدفت هجمات التصيد الضحايا من مناطق مختلفة، بما في ذلك الولايات المتحدة وأوروبا وأستراليا والصين والهند. وجذبت الضحايا من خلال تقنيات أخرى، بما في ذلك تعدين رموز Pi بسهولة على الهواتف الذكية. 

في سبتمبر من العام الماضي، اكتشف باحثو الأمن السيبراني هجومًا آخر قائمًا على إعلانات Meta يروج للوصول المجاني إلى TradingView Premium. وجد باحثو Bitdefender Labs أن الهجوم انتشر إلى إعلانات Google وYouTube.

استولى القراصنة على حساب YouTube موثّق وحساب معلن Google وأطلقوا إعلانات مزيفة لإعادة توجيه الضحايا وتصّيد معلوماتهم. عادةً ما يؤدي استغلال حسابات YouTube الموثّقة إلى جذب الضحايا غير المرتابين إلى مواقع خبيثة تنتحل صفة مواقع شرعية.

وفقًا لـ Bitdefender، تمت مشاهدة أحد إعلانات الفيديو المزيفة بعنوان “Free TradingView Premium – Secret Method They Don’t Want You to Know” أكثر من 182,000 مرة خلال بضعة أيام.

يحتوي وصف الفيديو على رابط للملف التنفيذي الخبيث. ويحتوي على تقنية مراوغة تجعل المستخدم يرى صفحة غير ضارة إذا لم يتعرف عليه المهاجمون كهدف صالح. كان الفيديو غير مدرج، مما يجعله غير قابل للبحث ويصعب الإبلاغ عنه إلى Google.

لا يوجد تقرير عام يعزل إجمالي كمية العملات الرقمية المسروقة تحديدًا من خلال الإعلانات المزيفة. ومع ذلك، قُدرت الخسائر بحوالي 17 مليار دولار بسبب عمليات الاحتيال في العملات الرقمية خلال عام 2025 وفقًا لبيانات Chainalysis.

أثرت البرمجيات الخبيثة لسرقة المعلومات على ملايين الأجهزة وسرقت حوالي 1.8 مليار من بيانات الاعتماد في عام 2025، وفقًا لشركة الأمن السيبراني DeepStrike. وجاء في التقرير: “أي شيء مرتبط بالمال مثل الخدمات المصرفية عبر الإنترنت، PayPal، ومحافظ العملات الرقمية يعتبر هدفًا ثمينًا لدى مجرمي الإنترنت”.