Los hackers propagan malware que roba cripto a través de anuncios de Facebook

Los hackers están atacando a usuarios de criptomonedas mediante anuncios agresivos de actualización de Windows 11 en Facebook. 

Los anuncios falsos roban frases semilla de billeteras cripto, detalles de inicio de sesión y otra información sensible. Además, el malware recopila contraseñas guardadas y sesiones del navegador.

Los hackers promueven actualizaciones falsas de Windows 11 en Facebook

Según un informe de Malwarebytes, los hackers utilizan la marca profesional de Microsoft para promover la actualización falsa de Windows 11. Una vez que una víctima hace clic en el anuncio, ve un sitio web clonado de Microsoft con un nombre de dominio que imita dominios legítimos de Microsoft.

Los hackers utilizan geofencing, que es una técnica que se dirige a usuarios regulares que se conectan desde internet doméstico u oficinas, y evita direcciones IP de centros de datos. Esto se hace para evitar que escáneres automatizados expongan el ataque.

Una vez que la víctima supera el geofencing, reciben un instalador malicioso, que está alojado en GitHub y se descarga desde un dominio seguro con un certificado de seguridad. Esto hace que el ataque parezca una descarga genuina de Microsoft.

El instalador malicioso tiene un mecanismo de evasión que escanea en busca de máquinas virtuales y herramientas de análisis y detiene la ejecución para evitar la detección. Sin embargo, en la computadora de una víctima, el malware se instala y comienza a infectar el sistema.

El malware instala un framework real en una carpeta llamada LunarApplication. El nombre de la carpeta es similar a una marca de herramientas cripto llamada Lunar. Esto hace que el malware parezca legítimo para los usuarios de criptomonedas, pero en realidad, se dirige a archivos de billeteras cripto y frases semilla y envía los datos a los hackers.  

Las campañas de anuncios maliciosos de Facebook han estado funcionando durante mucho tiempo y han evitado la detección mediante técnicas sofisticadas de evasión como el geofencing.

El malware cripto se propaga a través de anuncios en redes sociales

Esta no es la primera vez que los hackers de criptomonedas han utilizado anuncios de Facebook para robar datos de billeteras cripto. El año pasado, los hackers aprovecharon el evento anual Pi2Day y lanzaron campañas de anuncios maliciosos de Facebook dirigidas a usuarios de criptomonedas. 

El evento anual Pi2Day es celebrado por la comunidad de Pi Network el 28 de junio. Durante el último evento, los hackers lanzaron 140 anuncios falsos utilizando la marca de Pi Network. Las víctimas fueron redirigidas a sitios web de phishing que promovían tokens Pi gratuitos o eventos de airdrops, pero a cambio de la frase de recuperación de la víctima. 

El ataque de phishing se dirigió a víctimas de varias regiones, incluidos Estados Unidos, Europa, Australia, China e India. Atrajo a las víctimas mediante otras técnicas, incluida la minería fácil de tokens Pi en teléfonos inteligentes. 

En septiembre del año pasado, investigadores de ciberseguridad descubrieron otro ataque basado en anuncios de Meta que promovía acceso gratuito a TradingView Premium. Investigadores de Bitdefender Labs descubrieron que el ataque se extendió a anuncios de Google y YouTube.

Los hackers secuestraron una cuenta verificada de YouTube y una cuenta de anunciante de Google y lanzaron anuncios falsos para redirigir a las víctimas y hacer phishing de su información. El abuso de cuentas verificadas de YouTube generalmente atrae a víctimas desprevenidas a sitios web maliciosos que se hacen pasar por legítimos.

Según Bitdefender, uno de los anuncios de video falsos titulado "Free TradingView Premium – Secret Method They Don't Want You to Know" fue visto más de 182,000 veces en unos pocos días.

La descripción del video incluye un enlace al ejecutable malicioso. Presenta una técnica de evasión que hace que el usuario vea una página inofensiva si los atacantes no los reconocen como un objetivo válido. El video no estaba listado, lo que lo hace imposible de buscar y difícil de reportar a Google.

No hay un informe público que aísle la cantidad total de criptomonedas robadas específicamente a través de anuncios falsos. Sin embargo, se estima que se perdieron $17 mil millones en estafas cripto en 2025 según datos de Chainalysis.

El malware Infostealer afectó a millones de dispositivos y robó alrededor de 1.8 mil millones de credenciales en 2025, según la firma de ciberseguridad DeepStrike. "Cualquier cosa con dinero adjunto a banca en línea, PayPal, billeteras de criptomonedas obviamente es valorada por los cibercriminales", declaró el informe.

Únete a una comunidad premium de trading de cripto gratis por 30 días - normalmente $100/mes.