Các quảng cáo giả này đánh cắp cụm từ khôi phục ví crypto, thông tin đăng nhập và các dữ liệu nhạy cảm khác. Hơn nữa, phần mềm độc hại còn thu thập mật khẩu đã lưu và phiên trình duyệt.
Hacker quảng bá cập nhật Windows 11 giả trên Facebook
Theo báo cáo của Malwarebytes, hacker sử dụng thương hiệu Microsoft chuyên nghiệp để quảng bá bản cập nhật Windows 11 giả. Khi nạn nhân nhấp vào quảng cáo, họ sẽ thấy một trang web Microsoft sao chép với tên miền giống với các tên miền hợp pháp của Microsoft.
Hacker sử dụng kỹ thuật geofencing, nhằm nhắm mục tiêu người dùng thông thường truy cập từ mạng gia đình hoặc văn phòng và tránh các địa chỉ IP đến từ trung tâm dữ liệu. Điều này được thực hiện để ngăn chặn các máy quét tự động phát hiện cuộc tấn công.
Khi nạn nhân vượt qua geofencing, họ sẽ nhận được một trình cài đặt độc hại, được lưu trữ trên GitHub và tải xuống từ một tên miền an toàn có chứng chỉ bảo mật. Điều này khiến cuộc tấn công trông giống như một bản tải xuống chính hãng của Microsoft.
Trình cài đặt độc hại có cơ chế né tránh, quét các máy ảo và công cụ phân tích rồi dừng thực thi để tránh bị phát hiện. Tuy nhiên, trên máy tính của nạn nhân, phần mềm độc hại sẽ cài đặt và bắt đầu lây nhiễm hệ thống.
Phần mềm độc hại cài đặt một framework thật vào thư mục có tên LunarApplication. Tên thư mục này giống với thương hiệu công cụ crypto có tên Lunar. Điều này khiến phần mềm độc hại trông hợp pháp đối với người dùng crypto, nhưng thực tế nó nhắm mục tiêu các file ví crypto và cụm từ khôi phục, rồi gửi dữ liệu cho hacker.
Các chiến dịch quảng cáo Facebook độc hại này đã hoạt động trong thời gian dài và tránh bị phát hiện nhờ các kỹ thuật né tránh tinh vi như geofencing.
Phần mềm độc hại crypto lan truyền qua quảng cáo mạng xã hội
Đây không phải là lần đầu tiên hacker crypto sử dụng quảng cáo Facebook để đánh cắp dữ liệu ví crypto. Năm ngoái, hacker đã lợi dụng sự kiện Pi2Day thường niên và tung ra các chiến dịch quảng cáo Facebook độc hại nhắm vào người dùng crypto.
Sự kiện Pi2Day thường niên được cộng đồng Pi Network tổ chức vào ngày 28 tháng 6. Trong sự kiện năm ngoái, hacker đã tung ra 140 quảng cáo giả mạo sử dụng thương hiệu Pi Network. Nạn nhân bị chuyển hướng tới các trang web lừa đảo quảng bá tặng Pi token hoặc sự kiện airdrop, nhưng đổi lại là cụm từ khôi phục của nạn nhân.
Cuộc tấn công lừa đảo nhắm vào nạn nhân ở nhiều khu vực khác nhau, bao gồm Mỹ, châu Âu, Úc, Trung Quốc và Ấn Độ. Nó dụ dỗ nạn nhân bằng các kỹ thuật khác như khai thác Pi token dễ dàng trên điện thoại thông minh.
Vào tháng 9 năm ngoái, các nhà nghiên cứu an ninh mạng đã phát hiện một cuộc tấn công dựa trên quảng cáo Meta khác nhằm quảng bá truy cập miễn phí TradingView Premium. Các nhà nghiên cứu từ Bitdefender Labs nhận thấy cuộc tấn công này còn lan sang quảng cáo Google và YouTube.
Hacker đã chiếm quyền điều khiển tài khoản YouTube đã xác thực và tài khoản quảng cáo Google, rồi tung ra quảng cáo giả để chuyển hướng nạn nhân và thu thập thông tin của họ. Lợi dụng các tài khoản YouTube xác thực thường dụ dỗ nạn nhân không nghi ngờ truy cập các trang web độc hại giả mạo hợp pháp.
Theo Bitdefender, một trong các quảng cáo video giả mạo có tiêu đề “Free TradingView Premium – Secret Method They Don’t Want You to Know” đã được xem hơn 182.000 lần chỉ trong vài ngày.
Phần mô tả video có chứa liên kết tới file thực thi độc hại. Nó có kỹ thuật né tránh khiến người dùng chỉ thấy một trang an toàn nếu hacker không nhận ra họ là mục tiêu hợp lệ. Video này không được liệt kê công khai, nên không thể tìm kiếm và khó bị báo cáo cho Google.
Hiện chưa có báo cáo công khai nào xác định tổng số lượng tiền mã hóa bị đánh cắp chỉ riêng thông qua quảng cáo giả mạo. Tuy nhiên, ước tính có khoảng 17 tỷ đô la đã bị mất vì các vụ lừa đảo crypto trong năm 2025, dựa theo dữ liệu của Chainalysis.
Phần mềm độc hại đánh cắp thông tin đã ảnh hưởng tới hàng triệu thiết bị và lấy cắp khoảng 1,8 tỷ thông tin xác thực trong năm 2025, theo công ty an ninh mạng DeepStrike. “Bất kỳ thứ gì liên quan đến tiền như ngân hàng trực tuyến, PayPal, ví tiền mã hóa đều là mục tiêu hấp dẫn đối với tội phạm mạng,” bản báo cáo cho biết.
