Los anuncios falsos roban frases semilla de billeteras cripto, datos de inicio de sesión y otra información sensible. Además, el malware recolecta contraseñas guardadas y sesiones de navegador.
Hackers promocionan actualizaciones falsas de Windows 11 en Facebook
Según un informe de Malwarebytes, los hackers utilizan la imagen profesional de Microsoft para promocionar la falsa actualización de Windows 11. Una vez que la víctima hace clic en el anuncio, ve un sitio web clonado de Microsoft con un nombre de dominio que imita a los dominios legítimos de Microsoft.
Los hackers utilizan geofencing, una técnica que apunta a usuarios habituales que se conectan desde Internet doméstico u oficinas, y evita direcciones IP de centros de datos. Esto se hace para evitar que los escáneres automatizados expongan el ataque.
Una vez que la víctima supera el geofencing, recibe un instalador malicioso, que está alojado en GitHub y se descarga desde un dominio seguro con un certificado de seguridad. Esto hace que el ataque parezca una descarga genuina de Microsoft.
El instalador malicioso cuenta con un mecanismo de evasión que escanea máquinas virtuales y herramientas de análisis y detiene la ejecución para evitar ser detectado. Sin embargo, en la computadora de la víctima, el malware se instala y comienza a infectar el sistema.
El malware instala un framework real en una carpeta llamada LunarApplication. El nombre de la carpeta es similar a una marca de herramientas cripto llamada Lunar. Esto hace que el malware parezca legítimo para los usuarios cripto, pero en realidad apunta a archivos de billeteras cripto y frases semilla y envía los datos a los hackers.
Las campañas maliciosas de anuncios en Facebook han estado activas durante mucho tiempo y han evitado ser detectadas mediante técnicas sofisticadas de evasión como el geofencing.
Malware cripto se propaga a través de anuncios en redes sociales
No es la primera vez que hackers cripto utilizan anuncios de Facebook para robar datos de billeteras cripto. El año pasado, los hackers aprovecharon el evento anual Pi2Day y lanzaron campañas maliciosas de anuncios en Facebook dirigidas a usuarios de criptomonedas.
El evento anual Pi2Day es celebrado por la comunidad de Pi Network el 28 de junio. Durante el último evento, los hackers lanzaron 140 anuncios falsos utilizando la imagen de marca de Pi Network. Las víctimas eran redirigidas a sitios de phishing que promocionaban tokens Pi gratis o eventos de airdrop, pero a cambio de la frase de recuperación de la víctima.
El ataque de phishing apuntaba a víctimas de diversas regiones, incluidos Estados Unidos, Europa, Australia, China e India. Atraía a las víctimas mediante otras técnicas, como la minería fácil de tokens Pi en smartphones.
En septiembre del año pasado, investigadores de ciberseguridad descubrieron otro ataque basado en anuncios de Meta que promocionaba acceso gratuito a TradingView Premium. Investigadores de Bitdefender Labs encontraron que el ataque se expandió a anuncios de Google y YouTube.
Los hackers secuestraron una cuenta verificada de YouTube y una cuenta de anunciante de Google y lanzaron anuncios falsos para redirigir a las víctimas y robar su información. El abuso de cuentas verificadas de YouTube suele atraer a víctimas desprevenidas a sitios maliciosos que se hacen pasar por sitios legítimos.
Según Bitdefender, uno de los anuncios de video falsos titulado “Free TradingView Premium – Secret Method They Don’t Want You to Know” fue visto más de 182.000 veces en pocos días.
La descripción del video incluye un enlace al ejecutable malicioso. Cuenta con una técnica de evasión que hace que el usuario vea una página inofensiva si los atacantes no los reconocen como objetivo válido. El video era no listado, lo que lo hace inencontrable y difícil de reportar a Google.
No hay un informe público que aísle la cantidad total de criptomonedas robadas específicamente a través de anuncios falsos. Sin embargo, se estima que unos USD 17 mil millones se perdieron en estafas cripto en 2025 según datos de Chainalysis.
El malware infostealer afectó a millones de dispositivos y robó cerca de 1.800 millones de credenciales en 2025, según la firma de ciberseguridad DeepStrike. “Todo lo que esté vinculado a dinero, como la banca online, PayPal, billeteras de criptomonedas, obviamente es muy valorado por los ciberdelincuentes”, declaró el informe.
