Фальшивые объявления воруют сид-фразы криптовалютных кошельков, данные для входа и другую конфиденциальную информацию. Кроме того, вредоносное ПО собирает сохранённые пароли и сессии браузера.
Хакеры продвигают фальшивые обновления Windows 11 в Facebook
Согласно отчёту Malwarebytes, хакеры используют профессиональное брендирование Microsoft для продвижения поддельного обновления Windows 11. После того как жертва нажимает на рекламное объявление, ей показывается клонированный сайт Microsoft с доменным именем, имитирующим легитимные домены Microsoft.
Хакеры применяют технологию геофенсинга — это метод, нацеленный на обычных пользователей, которые подключаются из дома или офиса, и избегают IP-адресов из дата-центров. Это делается для того, чтобы автоматические сканеры не смогли выявить атаку.
После прохождения геофенсинга жертва получает вредоносный установщик, размещённый на GitHub и загружаемый с защищённого домена с сертификатом безопасности. Это создаёт впечатление, будто загрузка происходит с официального сайта Microsoft.
Вредоносный установщик оснащён механизмом обхода обнаружения: он сканирует наличие виртуальных машин и инструментов для анализа и прекращает выполнение, чтобы избежать выявления. Однако на компьютере жертвы вредоносное ПО устанавливается и начинает заражать систему.
Вредоносное ПО устанавливает настоящий фреймворк в папку под названием LunarApplication. Название папки схоже с брендом криптоинструментов Lunar. Это заставляет криптопользователей считать вредоносное ПО легитимным, но на самом деле оно нацелено на файлы криптовалютных кошельков и сид-фразы и отправляет данные хакерам.
Вредоносные рекламные кампании в Facebook работают уже давно и избегают обнаружения с помощью сложных методов обхода, таких как геофенсинг.
Криптовредоносные программы распространяются через рекламу в социальных сетях
Это не первый случай, когда криптохакеры используют рекламу в Facebook для кражи данных криптовалютных кошельков. В прошлом году злоумышленники воспользовались ежегодным мероприятием Pi2Day и запустили вредоносные рекламные кампании в Facebook, нацеленные на криптопользователей.
Ежегодное событие Pi2Day отмечается сообществом Pi Network 28 июня. В ходе последнего мероприятия хакеры разместили 140 фальшивых объявлений с брендингом Pi Network. Жертвы перенаправлялись на фишинговые сайты, на которых предлагались бесплатные токены Pi или мероприятия по раздаче airdrop в обмен на восстановительную фразу жертвы.
Фишинговая атака была нацелена на жертв из разных регионов, включая США, Европу, Австралию, Китай и Индию. Жертв привлекали и другими методами, включая лёгкий майнинг токенов Pi на смартфонах.
В сентябре прошлого года специалисты по кибербезопасности обнаружили ещё одну атаку через рекламу в Meta, продвигающую бесплатный доступ к TradingView Premium. Исследователи из Bitdefender Labs выяснили, что атака распространилась также на рекламу в Google и YouTube.
Хакеры взломали проверенный аккаунт YouTube и аккаунт рекламодателя Google, после чего разместили фальшивые объявления, чтобы перенаправлять жертв и похищать их информацию. Использование проверенных YouTube-аккаунтов обычно помогает заманивать ничего не подозревающих пользователей на вредоносные сайты, маскирующиеся под легитимные.
По данным Bitdefender, одно из фальшивых видеообъявлений под названием “Free TradingView Premium – Secret Method They Don’t Want You to Know” было просмотрено более 182 000 раз всего за несколько дней.
В описании видео размещена ссылка на вредоносный исполняемый файл. Он использует метод обхода, при котором пользователь видит безвредную страницу, если злоумышленники не распознают его как подходящую цель. Видео было скрыто от поиска, что затрудняет его обнаружение и жалобы в Google.
Публичных отчётов, выделяющих общий объём криптовалют, украденных именно через фальшивую рекламу, не существует. Однако, по данным Chainalysis, в 2025 году на криптовалютных мошенничествах было потеряно около 17 миллиардов долларов.
Вредоносное ПО-стилер информации поразило миллионы устройств и украло около 1,8 миллиарда учётных данных в 2025 году, согласно данным компании по кибербезопасности DeepStrike. “Всё, что связано с деньгами — онлайн-банкинг, PayPal, криптовалютные кошельки — является очевидной целью для киберпреступников”, — говорится в отчёте.
