Häkkerid levitavad krüptoraha varastavat pahavarat Facebooki reklaamide kaudu

Hea, et küberkurjategijad on Facebookis agressiivseid Windows 11 uuenduste reklaame kasutades krüptoraha kasutajaid sihikule võtnud. 

Näilised reklaamid varastavad krüptoraha rahakottide seed fraase, sisselogimisandmeid ja muud tundlikku teavet. Lisaks kogub pahavaratarkvara salvestatud paroole ja brauserisessioone.

Küberkurjategijad reklaamivad Facebookis võltsitud Windows 11 uuendusi

Malwarebytes’i aruande kohaselt kasutavad küberkurjategijad professionaalset Microsofti brändingut, et võltsitud Windows 11 uuendust reklaamida. Kui ohver reklaamile klikkab, avaneb talle kloonitud Microsofti veebisait, mille domeeninimi imiteerib päris Microsofti domeene.

Küberkurjategijad kasutavad geofenseeringut – tehnikat, mis suunab tavakasutajaid, kes ühenduvad kodu- või kontorivõrguga, ning väldib andmekeskuste IP-aadresse. See aitab rünnakut automaatsete skannerite eest peita.

Kui ohver geofenseeringu läbib, laeb ta alla pahatahtliku installeri, mis on hostitud GitHubis ja allalaaditud turvaliselt sertifikaadiga domeenilt. Tänu sellele näeb rünnak välja nagu päris Microsofti allalaadimine.

Pahatahtlikul installeril on evasioonimehhanism, mis skannib virtuaalmasinaid ja analüüsivahendeid ning lõpetab käivitumise, et vältida avastamist. Ohvri arvutis aga paigaldab pahavara ennast ja hakkab süsteemi nakatama.

Pahavara paigaldab päris raamistiku kausta nimega LunarApplication. Kausta nimi sarnaneb krüptoraha tööriistade brändiga Lunar. See teeb pahavara krüptoraha kasutajate silmis usaldusväärseks, kuid tegelikult sihib see krüptoraha rahakottide faile ja seed fraase ning saadab andmed küberkurjategijatele.  

Pahatahtlikud Facebooki reklaamikampaaniad on juba pikalt kestnud ning on keerukate evasioonitehnikate abil, nagu geofenseering, avastamisest pääsenud.

Krüptopahavara levib sotsiaalmeedia reklaamide kaudu

See ei ole esimene kord, kui krüptokurjategijad on Facebooki reklaame kasutades krüptoraha rahakottide andmeid varastanud. Eelmisel aastal kasutasid küberkurjategijad Pi2Day aastapäeva sündmust ära ja käivitasid krüptoraha kasutajaid sihikule võtvad pahatahtlikud Facebooki reklaamikampaaniad. 

Pi Networki kogukond tähistab igaaastast Pi2Day sündmust 28. juunil. Eelmise sündmuse ajal käivitasid küberkurjategijad 140 võltsreklaami, kasutades Pi Networki brändingut. Ohvreid suunati veebisaitidele, mis reklaamisid tasuta Pi token'e või airdropi sündmusi, kuid vahetuseks ohvri taastamisfrasiga. 

Phishing-rünnak oli suunatud mitmesse piirkonda, sealhulgas USAsse, Euroopasse, Austraaliasse, Hiinasse ja Indiasse. Ohvreid meelitati ligi ka muude võtetega, sealhulgas lihtsa Pi token'i kaevandamisega nutitelefonides. 

Eelmise aasta septembris avastasid küberturvalisuse uurijad veel ühe Meta reklaamipõhise rünnaku, mis reklaamis tasuta juurdepääsu TradingView Premiumile. Bitdefender Labsi uurijad leidsid, et rünnak levis ka Google'i ja YouTube'i reklaamides.

Küberkurjategijad haarasid enda kontrolli alla verifitseeritud YouTube'i konto ja Google'i reklaamikontot ning käivitasid võltsreklaame, et ohvreid suunata ja nende teavet püüda. Verifitseeritud YouTube'i kontode kuritarvitamine meelitab sageli teadmatuid ohvreid pahatahtlikele veebisaitidele, mis maskeeruvad legitiimseteks.

Bitdefenderi andmetel vaadati ühte võlts videot, mille pealkiri oli “Tasuta TradingView Premium – saladusmeetod, mida nad ei taha, et sa teaksid”, mõne päeva jooksul enam kui 182 000 korda.

Videote kirjelduses oli link pahatahtlikule käivitatavale failile. Videol kasutatakse evasioonitehnikat, mis paneb kasutaja nägema kahjutut lehekülge, kui ründajad ei tunne teda tõelise sihtmärgina. Video oli loetud, mis muudab selle otsimatuks ja Google'ile raskesti teatavaks.

Üldist summat, milline krüptovaluuta just võltsreklaamide kaudu varastatud on, pole avalikult teatatud. Siiski hinnanguliselt kaotasid krüptoscamid 2025. aastal Chainalysis'i andmete järgi umbes 17 miljardit dollarit.

Infostealer-pahavara mõjutas 2025. aastal miljoneid seadmeid ja varastas umbes 1,8 miljardit autentimisandmeid, teatas küberturvalisuse firma DeepStrike. “Kõik, millel on online-panganduse, PayPal'i ja krüptoraha rahakottidega seotud raha, on kübervaraste jaoks ilmselgelt eriti hinnatud,” seisab raportis.

Liitu premium krüptokauplemiskogukonnaga 30 päeva tasuta – tavaliselt 100 USD kuus.