Fałszywe reklamy Windows 11 na Facebooku wykorzystywane do kradzieży kryptowalut w aktywnej kampanii malware
Najważniejsze informacje
- Fałszywe reklamy Windows 11 na Facebooku rozprzestrzeniają złośliwe oprogramowanie kradnące kryptowaluty.
- Ofiary są przekierowywane na sklonowane strony internetowe w stylu Microsoft.
- Infostealer "LunarApplication" atakuje frazy seed i hasła.
- Złośliwe oprogramowanie wykorzystuje geofencing i wykrywanie sandboxów, aby unikać narzędzi bezpieczeństwa.
Operacja, odkryta w lutym 2026 roku przez badaczy z PCMag i Malwarebytes, wykorzystuje przekonującą reklamę w stylu Microsoft, aby nakłonić użytkowników do zainstalowania złośliwego oprogramowania zaprojektowanego do opróżniania portfeli kryptowalutowych.
Atakujący wydają się koncentrować na użytkownikach, którzy jeszcze nie zaktualizowali do Windows 11 i mogą aktywnie szukać opcji aktualizacji po zakończeniu wsparcia dla Windows 10.
Jak działa oszustwo
Kampania rozpoczyna się od płatnych reklam na Facebooku z profesjonalnym brandingiem Microsoft i komunikatami oferującymi "darmową" lub "szybką" aktualizację do Windows 11. Reklamy przekierowują użytkowników na fałszywe strony internetowe, które wiernie naśladują oficjalne strony pobierania Microsoft. Niektóre z fałszywych domen nawet odwołują się do "25H2", aby wyglądać na aktualne i legalne.
Ofiary są proszone o pobranie pliku, często o nazwie "ms-update32.exe", zazwyczaj o rozmiarze około 75 MB. Instalator jest hostowany w repozytoriach kontrolowanych przez atakujących, w tym sklonowanych projektach na GitHub, co nadaje mu dodatkową warstwę pozornej legalności.
W niektórych wariantach atakujący posuwają się dalej, używając fałszywych monitów CAPTCHA. Użytkownicy są instruowani, aby nacisnąć Windows + R, wkleić polecenie do okna dialogowego Uruchom i ręcznie wykonać złośliwy kod PowerShell. Ten trik socjotechniczny omija tradycyjne ostrzeżenia o pobieraniu i zwiększa prawdopodobieństwo infekcji.
Infostealer "LunarApplication" atakuje aktywa kryptowalutowe
Po zainstalowaniu złośliwe oprogramowanie wdraża infostealera ukrytego w folderze o nazwie "LunarApplication". Nazwa wydaje się być celowo wybrana, aby przypominać legalne narzędzia związane z kryptowalutami, zmniejszając podejrzenia wśród posiadaczy aktywów cyfrowych.
Głównym celem złośliwego oprogramowania jest wydobycie danych. Skanuje system w poszukiwaniu:
- Fraz seed portfeli kryptowalutowych
- Danych logowania do giełd
- Zapisanych haseł przeglądarki
- Aktywnych ciasteczek sesji
Dzięki dostępowi do fraz seed lub uwierzytelnionych sesji atakujący mogą szybko przenieść środki z portfeli ofiar, zanim zdadzą sobie sprawę z tego, co się stało.
Zaawansowane techniki unikania wykrycia
Badacze twierdzą, że kampania wykorzystuje kilka zaawansowanych taktyk, aby uniknąć wykrycia.
Geofencing jest jedną z kluczowych obronne. Jeśli złośliwa strona internetowa wykryje ruch z centrum danych, VPN powszechnie używanego przez badaczy lub znanego zakresu IP skanera bezpieczeństwa, przekierowuje odwiedzających na stronę główną Google zamiast dostarczać ładunek.
Instalator sprawdza również maszyny wirtualne i środowiska analizy. Jeśli wykryje, że działa w sandboxie lub monitorowanym systemie, odmawia wykonania.
Aby zapewnić trwałość, złośliwe oprogramowanie umieszcza się w rejestrze Windows pod ścieżką HKEY_LOCAL_MACHINE\SYSTEM\Software\Microsoft\TIP\AggregateResults, co pozwala mu przetrwać ponowne uruchomienia systemu i kontynuować zbieranie poufnych danych.
Co powinni zrobić użytkownicy
Eksperci ds. bezpieczeństwa podkreślają, że Microsoft nie promuje aktualizacji systemu operacyjnego za pośrednictwem reklam w mediach społecznościowych. Legalne aktualizacje są dostarczane wyłącznie za pośrednictwem wbudowanej funkcji Windows Update w ustawieniach systemu.
Użytkownicy, którzy kliknęli podejrzane reklamy lub pobrali pliki, powinni natychmiast przeprowadzić pełne skanowanie systemu przy użyciu renomowanego oprogramowania antywirusowego, takiego jak Malwarebytes Free Scanner.
Dla posiadaczy kryptowalut wskazówki są jeszcze pilniejsze. Jeśli urządzenie jest podejrzane o kompromitację, środki powinny zostać przeniesione do nowego portfela wygenerowanego na oddzielnym, czystym urządzeniu. Należy utworzyć nową frazę seed, ponieważ każda wcześniej ujawniona fraza powinna być uznana za trwale skompromitowaną.
Wraz ze wzrostem adopcji kryptowalut atakujący coraz częściej łączą tradycyjne taktyki złośliwego oprogramowania z kradzieżą aktywów cyfrowych. Ta najnowsza kampania pokazuje, jak socjotechnika w połączeniu z dopracowanym brandingiem i technicznym unikaniem wykrycia może przekształcić prostą "aktualizację systemu" w bramę do strat finansowych.
Informacje zawarte w tym artykule służą wyłącznie celom edukacyjnym i nie stanowią porady finansowej, inwestycyjnej ani handlowej. Coindoo.com nie popiera ani nie zaleca żadnej konkretnej strategii inwestycyjnej ani kryptowaluty. Zawsze przeprowadzaj własne badania i skonsultuj się z licencjonowanym doradcą finansowym przed podjęciem jakichkolwiek decyzji inwestycyjnych.
Post Fałszywe reklamy Windows 11 na Facebooku wykorzystywane do kradzieży kryptowalut w aktywnej kampanii złośliwego oprogramowania ukazał się po raz pierwszy na Coindoo.
Możesz także polubić
Niezwykła odporność Bitcoina: Analiza pokazuje, że BTC przewyższa złoto i akcje w ciągu dwóch miesięcy od globalnego kryzysu
Litecoin (LTC) – cena dzisiaj: LTC testuje kluczową strefę popytu przy utrzymującym się niedźwiedzim nacisku
