Хакеры распространяют вредоносное ПО для кражи криптовалюты через рекламу в Facebook

Хакеры атакуют пользователей криптовалюты через агрессивную рекламу обновлений Windows 11 в Facebook. 

Фальшивая реклама крадет seed-фразы криптокошельков, данные для входа и другую конфиденциальную информацию. Кроме того, вредоносное ПО собирает сохраненные пароли и сеансы браузера.

Хакеры продвигают поддельные обновления Windows 11 в Facebook

Согласно отчету Malwarebytes, хакеры используют профессиональный брендинг Microsoft для продвижения поддельного обновления Windows 11. Как только жертва нажимает на рекламу, она видит клонированный веб-сайт Microsoft с доменным именем, имитирующим легитимные домены Microsoft.

Хакеры используют геофенсинг — технику, которая нацелена на обычных пользователей, подключающихся из домашнего интернета или офисов, и избегает IP-адресов из дата-центров. Это делается для того, чтобы автоматические сканеры не обнаружили атаку.

После того как жертва проходит геофенсинг, она получает вредоносный установщик, который размещен на GitHub и загружается с защищенного домена с сертификатом безопасности. Это делает атаку похожей на подлинную загрузку от Microsoft.

Вредоносный установщик имеет механизм обхода, который сканирует виртуальные машины и инструменты анализа и останавливает выполнение, чтобы избежать обнаружения. Однако на компьютере жертвы вредоносное ПО устанавливается и начинает заражать систему.

Вредоносное ПО устанавливает реальный фреймворк в папку с именем LunarApplication. Название папки похоже на бренд криптовалютных инструментов под названием Lunar. Это делает вредоносное ПО легитимным для пользователей криптовалюты, но на самом деле оно нацелено на файлы криптокошельков и seed-фразы и отправляет данные хакерам.  

Вредоносные рекламные кампании в Facebook работают уже давно и избегают обнаружения благодаря сложным методам обхода, таким как геофенсинг.

Криптовалютное вредоносное ПО распространяется через рекламу в социальных сетях

Это не первый случай, когда криптохакеры используют рекламу в Facebook для кражи данных криптокошельков. В прошлом году хакеры воспользовались ежегодным событием Pi2Day и запустили вредоносные рекламные кампании в Facebook, нацеленные на пользователей криптовалюты. 

Ежегодное событие Pi2Day отмечается сообществом Pi Network 28 июня. Во время последнего события хакеры запустили 140 поддельных объявлений с использованием брендинга Pi Network. Жертв перенаправляли на фишинговые веб-сайты, которые рекламировали бесплатные токены Pi или аирдроп токенов, но в обмен на фразу восстановления жертвы. 

Фишинговая атака была нацелена на жертв из различных регионов, включая США, Европу, Австралию, Китай и Индию. Она заманивала жертв с помощью других методов, включая легкий майнинг токенов Pi на смартфонах. 

В сентябре прошлого года исследователи кибербезопасности обнаружили еще одну атаку на основе рекламы Meta, продвигающую бесплатный доступ к TradingView Premium. Исследователи из Bitdefender Labs обнаружили, что атака распространилась на рекламу Google и YouTube.

Хакеры взломали верифицированный аккаунт YouTube и аккаунт рекламодателя Google и запустили поддельную рекламу для перенаправления жертв и фишинга их информации. Использование верифицированных аккаунтов YouTube обычно заманивает ничего не подозревающих жертв на вредоносные веб-сайты, выдающие себя за легитимные.

Согласно Bitdefender, одна из поддельных видеорекламных объявлений под названием "Free TradingView Premium – Secret Method They Don't Want You to Know" была просмотрена более 182 000 раз за несколько дней.

Описание видео включает ссылку на вредоносный исполняемый файл. Оно использует метод обхода, который заставляет пользователя видеть безвредную страницу, если злоумышленники не распознают его как действительную цель. Видео было скрыто из списка, что делает его недоступным для поиска и трудным для подачи жалобы в Google.

Нет публичного отчета, выделяющего общую сумму криптовалюты, украденной именно через поддельную рекламу. Однако, по данным Chainalysis, в 2025 году было потеряно около 17 миллиардов $ из-за криптомошенничества.

Вредоносное ПО для кражи информации затронуло миллионы устройств и украло около 1,8 миллиарда учетных данных в 2025 году, согласно компании по кибербезопасности DeepStrike. "Все, что связано с деньгами, онлайн-банкингом, PayPal, криптовалютными кошельками, очевидно, ценится киберпреступниками", говорится в отчете.

Присоединяйтесь к премиум-сообществу криптовалютной торговли бесплатно на 30 дней — обычно 100 $/месяц.