Nep Windows 11 Facebook-advertenties gebruikt om crypto te stelen in actieve malwarecampagne

De operatie, ontdekt in februari 2026 door onderzoekers van PCMag en Malwarebytes, gebruikt overtuigende Microsoft-thema advertenties om gebruikers te misleiden tot het installeren van kwaadaardige software die is ontworpen om crypto-wallets leeg te halen.

De aanvallers lijken zich te richten op gebruikers die nog niet zijn overgestapt naar Windows 11 en mogelijk actief op zoek zijn naar upgrade-opties na de einddatum van ondersteuning voor Windows 10.

Hoe de oplichting werkt

De campagne begint met betaalde Facebook-advertenties met professionele Microsoft-branding en berichten die een "gratis" of "snelle" Windows 11-upgrade aanbieden. De advertenties leiden gebruikers door naar namaakwebsites die sterk lijken op officiële Microsoft-downloadpagina's. Sommige nepdomains verwijzen zelfs naar "25H2" om actueel en legitiem te lijken.

Slachtoffers worden gevraagd een bestand te downloaden, vaak genaamd "ms-update32.exe", dat doorgaans ongeveer 75 MB groot is. Het installatieprogramma wordt gehost op door aanvallers gecontroleerde repositories, inclusief gekloonde projecten op GitHub, wat een extra laag van ogenschijnlijke legitimiteit geeft.

In sommige varianten gaan de aanvallers verder door gebruik te maken van nep-CAPTCHA-prompts. Gebruikers worden geïnstrueerd om Windows + R in te drukken, een commando in het dialoogvenster Uitvoeren te plakken en handmatig kwaadaardige PowerShell-code uit te voeren. Deze social engineering-truc omzeilt traditionele downloadwaarschuwingen en vergroot de kans op infectie.

"LunarApplication" Infostealer richt zich op crypto-activa

Eenmaal geïnstalleerd, implementeert de malware een infostealer verborgen in een map met de naam "LunarApplication". De naam lijkt opzettelijk gekozen om te lijken op legitieme crypto-gerelateerde tools, waardoor de verdenking onder houders van digitale activa wordt verminderd.

Het primaire doel van de malware is gegevensextractie. Het scant het systeem op:

• Cryptocurrency wallet seed phrases
• Inloggegevens voor exchanges
• Opgeslagen browserwachtwoorden
• Actieve sessiecookies

Met toegang tot seed phrases of geauthenticeerde sessies kunnen aanvallers snel geld uit de wallets van slachtoffers overboeken voordat ze zich realiseren wat er is gebeurd.

Geavanceerde ontwijkingstechnieken

Onderzoekers zeggen dat de campagne verschillende geavanceerde tactieken gebruikt om detectie te vermijden.

Geofencing is een van de belangrijkste verdedigingsmechanismen. Als de kwaadaardige website verkeer detecteert van een datacenter, VPN die vaak door onderzoekers wordt gebruikt, of een bekend IP-bereik van beveiligingsscanners, stuurt het bezoekers door naar de startpagina van Google in plaats van de payload te leveren.

Het installatieprogramma controleert ook op virtuele machines en analyseomgevingen. Als het detecteert dat het binnen een sandbox of gemonitord systeem draait, weigert het uit te voeren.

Voor persistentie nestelt de malware zich in het Windows-register onder het pad HKEY_LOCAL_MACHINE\SYSTEM\Software\Microsoft\TIP\AggregateResults, waardoor het systeem-reboots kan overleven en gevoelige gegevens kan blijven verzamelen.

Wat gebruikers moeten doen

Beveiligingsexperts benadrukken dat Microsoft geen upgrades van besturingssystemen promoot via sociale media-advertenties. Legitieme updates worden uitsluitend geleverd via de ingebouwde Windows Update-functie in systeeminstellingen.

Gebruikers die op verdachte advertenties hebben geklikt of bestanden hebben gedownload, moeten onmiddellijk een volledige systeemscan uitvoeren met gerenommeerde antivirussoftware zoals de Malwarebytes Free Scanner.

Voor cryptocurrency-houders is de richtlijn nog urgenter. Als een apparaat verdacht wordt gecompromitteerd te zijn, moeten fondsen worden verplaatst naar een nieuwe wallet die is gegenereerd op een apart, schoon apparaat. Er moet een nieuwe seed phrase worden aangemaakt, aangezien elke eerder blootgestelde phrase als permanent gecompromitteerd moet worden beschouwd.

Naarmate de adoptie van crypto groeit, combineren aanvallers steeds vaker traditionele malware-tactieken met diefstal van digitale activa. Deze laatste campagne benadrukt hoe social engineering, gecombineerd met gepolijste branding en technische ontwijking, een eenvoudige "systeemupdate" kan veranderen in een toegangspoort tot financieel verlies.

De informatie in dit artikel is uitsluitend voor educatieve doeleinden en vormt geen financieel, beleggings- of handelsadvies. Coindoo.com onderschrijft of beveelt geen specifieke beleggingsstrategie of cryptocurrency aan. Voer altijd uw eigen onderzoek uit en raadpleeg een erkende financieel adviseur voordat u investeringsbeslissingen neemt.

Het bericht Nep Windows 11 Facebook-advertenties gebruikt om crypto te stelen in actieve malware-campagne verscheen eerst op Coindoo.