偽の広告は、暗号ウォレットのシードフレーズ、ログイン情報、その他の機密情報を盗みます。さらに、このマルウェアは保存されたパスワードやブラウザセッションも収集します。
ハッカーがFacebookで偽のWindows 11アップデートを宣伝
Malwarebytesのレポートによると、ハッカーはプロフェッショナルなMicrosoftのブランディングを使用して、偽のWindows 11アップデートを宣伝しています。被害者が広告をクリックすると、本物のMicrosoftドメインを模倣したクローンのMicrosoftウェブサイトが表示されます。
ハッカーはジオフェンシングという技術を利用しており、家庭やオフィスのインターネットから接続する一般ユーザーを標的とし、データセンターからのIPアドレスは回避します。これは自動スキャナーによる攻撃の発覚を防ぐためです。
被害者がジオフェンシングを通過すると、GitHub上にホスティングされた悪意のあるインストーラーが配布され、セキュリティ証明書付きの安全なドメインからダウンロードされます。これにより、攻撃が本物のMicrosoftダウンロードのように見えます。
悪意のあるインストーラーには回避メカニズムがあり、仮想マシンや解析ツールを検出して実行を停止し、検出を回避します。しかし、被害者のコンピューター上では、マルウェアがインストールされ、システムの感染が始まります。
マルウェアはLunarApplicationというフォルダーに本物のフレームワークをインストールします。このフォルダー名は、Lunarという暗号ツールブランドに似ており、マルウェアが暗号ユーザーにとって正当なものに見えるようにしていますが、実際には暗号ウォレットファイルやシードフレーズを標的とし、データをハッカーに送信します。
この悪意のあるFacebook広告キャンペーンは長期間にわたって実施されており、ジオフェンシングなどの高度な回避技術によって発見を免れています。
暗号マルウェアがソーシャルメディア広告を通じて拡散
これは、暗号ハッカーがFacebook広告を利用して暗号ウォレットデータを盗んだ初めてのケースではありません。昨年、ハッカーは年次Pi2Dayイベントを利用し、暗号ユーザーを標的にした悪意のあるFacebook広告キャンペーンを展開しました。
年次Pi2Dayイベントは、Pi Networkコミュニティによって6月28日に祝われます。前回のイベントでは、ハッカーがPi Networkのブランドを使って140件の偽広告を展開しました。被害者はフィッシングウェブサイトにリダイレクトされ、無料のPiトークンやエアドロップイベントを宣伝されましたが、その見返りとしてリカバリーフレーズを要求されました。
このフィッシング攻撃は、米国、ヨーロッパ、オーストラリア、中国、インドなど、さまざまな地域の被害者を標的にしていました。また、スマートフォンで簡単にPiトークンがマイニングできるなどの手口でも被害者を誘導していました。
昨年9月には、サイバーセキュリティ研究者が、TradingView Premiumへの無料アクセスを宣伝するMeta広告を利用した別の攻撃を発見しました。Bitdefender Labsの研究者によると、この攻撃はGoogleやYouTube広告にも拡大しました。
ハッカーは認証済みのYouTubeアカウントやGoogle広告主アカウントを乗っ取り、偽広告を展開して被害者をリダイレクトし、情報をフィッシングしました。認証済みYouTubeアカウントの悪用は、予期しない被害者を正規サイトを装った悪意あるウェブサイトに誘導する手口としてよく使われます。
Bitdefenderによると、「Free TradingView Premium – Secret Method They Don’t Want You to Know」と題された偽の動画広告の一つは、数日間で182,000回以上再生されました。
動画の説明には悪意のある実行ファイルへのリンクが含まれており、攻撃者が有効な標的と認識しなかった場合は無害なページを表示する回避技術が使われています。この動画は非公開であり、検索やGoogleへの通報が困難となっています。
偽広告を通じて盗まれた暗号資産の総額を特定する公開レポートはありません。しかし、Chainalysisのデータによると、2025年には約170億ドルが暗号詐欺で失われました。
サイバーセキュリティ企業DeepStrikeによれば、2025年にInfostealerマルウェアは数百万台のデバイスに影響を与え、約18億件の認証情報が盗まれました。「オンラインバンキング、PayPal、暗号ウォレットなど、金銭に関わるものはサイバー犯罪者にとって明らかに価値が高い」とレポートは述べています。
