Ang mga pekeng ad na ito ay nagnanakaw ng seed phrase ng crypto wallet, mga detalye ng pag-login, at iba pang sensitibong impormasyon. Bukod dito, ang malware ay nangongolekta ng mga naka-save na password at session sa browser.
Nagpo-promote ang mga hacker ng pekeng Windows 11 updates sa Facebook
Ayon sa ulat ng Malwarebytes, ginagamit ng mga hacker ang propesyonal na branding ng Microsoft upang i-promote ang pekeng Windows 11 update. Kapag pinindot ng biktima ang advertisement, makikita nila ang isang cloned na Microsoft website na may domain name na ginagaya ang mga lehitimong Microsoft domain.
Gumagamit ang mga hacker ng geofencing, isang teknik na tina-target ang mga regular na user na nakakonekta mula sa home internet o opisina, at iniiwasan ang mga IP address mula sa data centers. Ginagawa ito upang hindi ma-detect ng automated scanners ang pag-atake.
Kapag nakalusot na ang biktima sa geofencing, makakatanggap sila ng malicious installer na naka-host sa GitHub at dina-download mula sa isang secure na domain na may security certificate. Dahil dito, nagmumukhang tunay na Microsoft download ang atake.
May evasion mechanism ang malicious installer na nag-i-scan para sa mga virtual machine at analysis tools at tumitigil sa execution para makaiwas sa detection. Gayunpaman, kapag nasa computer na ng biktima, ini-install ng malware at sinisimulan ang pag-infect ng system.
Ang malware ay nag-i-install ng totoong framework sa isang folder na tinatawag na LunarApplication. Ang pangalan ng folder ay kahawig ng isang crypto tooling brand na tinatawag na Lunar. Dahil dito, nagmumukhang lehitimo ang malware sa mga crypto user, ngunit sa katotohanan, tina-target nito ang mga crypto wallet file at seed phrase at ipinapadala ang data sa mga hacker.
Matagal nang tumatakbo ang mga malicious Facebook ad campaign na ito at nakakaiwas sa detection gamit ang mga sopistikadong teknik gaya ng geofencing.
Kumakalat ang crypto malware sa pamamagitan ng mga social media ad
Hindi ito ang unang beses na gumamit ang mga crypto hacker ng Facebook ads upang magnakaw ng crypto wallet data. Noong nakaraang taon, sinamantala ng mga hacker ang taunang Pi2Day event at naglunsad ng mga malicious Facebook ad campaign na tina-target ang mga crypto user.
Ang taunang Pi2Day event ay ipinagdiriwang ng Pi Network community tuwing Hunyo 28. Sa huling event, naglunsad ang mga hacker ng 140 pekeng ad gamit ang branding ng Pi Network. Ang mga biktima ay nire-redirect sa phishing website na nagpo-promote ng libreng Pi tokens o airdrop event, ngunit kapalit nito ay hinihingi ang recovery phrase ng biktima.
Ang phishing attack ay tina-target ang mga biktima mula sa iba't ibang rehiyon, kabilang ang US, Europe, Australia, China, at India. Nilinlang ang mga biktima gamit ang iba pang teknik, kabilang ang madaling Pi token mining sa smartphones.
Noong Setyembre ng nakaraang taon, natuklasan ng mga cybersecurity researcher ang isa pang atake gamit ang Meta ads na nagpo-promote ng libreng access sa TradingView Premium. Natuklasan ng mga researcher mula sa Bitdefender Labs na ang atake ay kumalat din sa Google at YouTube ads.
Kinontrol ng mga hacker ang isang verified na YouTube account at isang Google advertiser account at naglunsad ng mga pekeng ad upang i-redirect ang mga biktima at i-phish ang kanilang impormasyon. Ang pang-aabuso sa mga verified YouTube account ay karaniwang ginagamit upang linlangin ang mga walang kamalay-malay na biktima papunta sa mga malisyosong website na nagkukunwaring lehitimo.
Ayon sa Bitdefender, isa sa mga pekeng video ad na pinamagatang “Free TradingView Premium – Secret Method They Don’t Want You to Know” ay napanood ng mahigit 182,000 beses sa loob lamang ng ilang araw.
Kasama sa video description ang link sa malicious executable. Mayroon itong evasion technique na nagdudulot sa user na makakita ng harmless page kung hindi sila kinikilalang valid target ng mga attacker. Ang video ay unlisted kaya hindi ito madaling ma-search at mahirap i-report sa Google.
Walang public report na nagsasaad ng kabuuang halaga ng cryptocurrency na ninakaw partikular sa pamamagitan ng mga pekeng ad. Gayunpaman, tinatayang $17 bilyon ang nawala sa mga crypto scam noong 2025 batay sa datos ng Chainalysis.
Apektado ng infostealer malware ang milyun-milyong device at nanakaw ang humigit-kumulang 1.8 bilyong credentials noong 2025, ayon sa cybersecurity firm na DeepStrike. “Anumang may kinalaman sa pera gaya ng online banking, PayPal, cryptocurrency wallets ay tiyak na pinupuntirya ng mga cybercriminals,” ayon sa ulat.
