Le pubblicità false rubano le seed phrase dei wallet crypto, i dati di accesso e altre informazioni sensibili. Inoltre, il malware raccoglie password salvate e sessioni del browser.
Gli hacker promuovono falsi aggiornamenti Windows 11 su Facebook
Secondo un rapporto di Malwarebytes, gli hacker utilizzano un branding professionale Microsoft per promuovere il falso aggiornamento di Windows 11. Una volta che una vittima clicca sulla pubblicità, viene mostrato un sito Microsoft clonato con un nome di dominio che imita quelli legittimi di Microsoft.
Gli hacker utilizzano il geofencing, una tecnica che prende di mira gli utenti regolari che si connettono da casa o dall’ufficio, evitando gli indirizzi IP provenienti dai data center. Questo serve a impedire che scanner automatici espongano l’attacco.
Una volta che la vittima supera il geofencing, riceve un programma di installazione malevolo, ospitato su GitHub e scaricato da un dominio sicuro con certificato di sicurezza. Questo fa sembrare l’attacco come un download genuino da Microsoft.
Il programma malevolo presenta un meccanismo di evasione che cerca macchine virtuali e strumenti di analisi e interrompe l’esecuzione per evitare di essere rilevato. Tuttavia, sul computer della vittima, il malware si installa e inizia a infettare il sistema.
Il malware installa un vero framework in una cartella chiamata LunarApplication. Il nome della cartella è simile a un marchio di strumenti crypto chiamato Lunar. Questo fa sembrare il malware legittimo per gli utenti crypto, ma in realtà prende di mira i file dei wallet crypto e le seed phrase, inviando i dati agli hacker.
Le campagne pubblicitarie malevole su Facebook sono attive da molto tempo e hanno evitato il rilevamento tramite sofisticate tecniche di evasione come il geofencing.
Il malware crypto si diffonde tramite pubblicità sui social media
Non è la prima volta che gli hacker crypto utilizzano pubblicità su Facebook per rubare dati dei wallet crypto. L’anno scorso, gli hacker hanno approfittato dell’evento annuale Pi2Day e hanno lanciato campagne pubblicitarie malevole su Facebook prendendo di mira gli utenti crypto.
L’evento annuale Pi2Day è celebrato dalla community di Pi Network il 28 giugno. Durante l’ultimo evento, gli hacker hanno lanciato 140 pubblicità false utilizzando il branding di Pi Network. Le vittime venivano reindirizzate a siti di phishing che promuovevano token Pi gratuiti o eventi di airdrop, ma in cambio della recovery phrase della vittima.
L’attacco di phishing ha preso di mira vittime di varie regioni, inclusi Stati Uniti, Europa, Australia, Cina e India. Ha attirato le vittime con altre tecniche, tra cui il mining facile di token Pi tramite smartphone.
A settembre dello scorso anno, i ricercatori di cybersecurity hanno scoperto un altro attacco basato su pubblicità Meta che promuoveva l’accesso gratuito a TradingView Premium. I ricercatori di Bitdefender Labs hanno riscontrato che l’attacco si era diffuso anche su Google e YouTube Ads.
Gli hacker hanno preso il controllo di un account YouTube verificato e di un account pubblicitario Google e hanno lanciato pubblicità false per reindirizzare le vittime e rubare le loro informazioni. L’abuso di account YouTube verificati di solito attira vittime ignare su siti malevoli che si spacciano per legittimi.
Secondo Bitdefender, uno dei falsi video pubblicitari intitolato “Free TradingView Premium – Secret Method They Don’t Want You to Know” è stato visualizzato più di 182.000 volte in pochi giorni.
La descrizione del video include un link all’eseguibile malevolo. Presenta una tecnica di evasione che fa visualizzare all’utente una pagina innocua se gli attaccanti non lo riconoscono come un bersaglio valido. Il video era non in elenco, il che lo rendeva non ricercabile e difficile da segnalare a Google.
Non esiste un rapporto pubblico che isoli la quantità totale di criptovalute rubate specificamente tramite pubblicità false. Tuttavia, si stima che nel 2025 siano stati persi circa 17 miliardi di dollari a causa di truffe crypto, secondo i dati di Chainalysis.
Secondo la società di cybersecurity DeepStrike, malware infostealer hanno colpito milioni di dispositivi e rubato circa 1,8 miliardi di credenziali nel 2025. “Tutto ciò che è collegato a denaro tramite online banking, PayPal, wallet di criptovalute è ovviamente molto ambito dai cybercriminali”, afferma il rapporto.
