Anúncios Falsos do Windows 11 no Facebook Usados para Roubar Criptomoedas em Campanha Ativa de Malware

A operação, descoberta em fevereiro de 2026 por investigadores da PCMag e Malwarebytes, usa publicidade convincente com tema da Microsoft para enganar utilizadores e levá-los a instalar software malicioso concebido para esvaziar carteiras de criptomoedas.

Os atacantes parecem estar a focar-se em utilizadores que ainda não atualizaram para o Windows 11 e que podem estar ativamente à procura de opções de atualização após o fim do prazo de suporte para o Windows 10.

Como Funciona o Golpe

A campanha começa com anúncios pagos no Facebook com branding profissional da Microsoft e mensagens que oferecem uma atualização "gratuita" ou "rápida" para o Windows 11. Os anúncios redirecionam os utilizadores para sites falsificados que imitam de perto as páginas oficiais de transferência da Microsoft. Alguns dos domínios falsos até fazem referência a "25H2" para parecerem atuais e legítimos.

As vítimas são solicitadas a transferir um ficheiro, frequentemente denominado "ms-update32.exe", normalmente com cerca de 75 MB de tamanho. O instalador está alojado em repositórios controlados pelos atacantes, incluindo projetos clonados no GitHub, conferindo-lhe uma camada extra de legitimidade percebida.

Em algumas variações, os atacantes vão mais longe ao usar prompts CAPTCHA falsos. Os utilizadores são instruídos a premir Windows + R, colar um comando na caixa de diálogo Executar e executar código PowerShell malicioso manualmente. Este truque de engenharia social contorna os avisos tradicionais de transferência e aumenta a probabilidade de infeção.

O Infostealer "LunarApplication" Tem Como Alvo Ativos Cripto

Uma vez instalado, o malware implementa um infostealer escondido dentro de uma pasta denominada "LunarApplication". O nome parece intencionalmente escolhido para se assemelhar a ferramentas legítimas relacionadas com criptomoedas, reduzindo a suspeita entre os detentores de ativos digitais.

O objetivo principal do malware é a extração de dados. Ele analisa o sistema em busca de:

• Frases-semente de carteiras de criptomoedas
• Credenciais de login de exchanges
• Palavras-passe guardadas no navegador
• Cookies de sessão ativos

Com acesso a frases-semente ou sessões autenticadas, os atacantes podem rapidamente transferir fundos das carteiras das vítimas antes que estas se apercebam do que aconteceu.

Técnicas Avançadas de Evasão

Os investigadores afirmam que a campanha utiliza várias táticas sofisticadas para evitar deteção.

O geofencing é uma das principais defesas. Se o site malicioso detetar tráfego de um centro de dados, VPN comumente usada por investigadores ou intervalo de IP de scanner de segurança conhecido, redireciona os visitantes para a página inicial do Google em vez de servir o payload.

O instalador também verifica a existência de máquinas virtuais e ambientes de análise. Se detetar que está a ser executado dentro de uma sandbox ou sistema monitorizado, recusa-se a executar.

Para persistência, o malware incorpora-se no registo do Windows sob o caminho HKEY_LOCAL_MACHINE\SYSTEM\Software\Microsoft\TIP\AggregateResults, permitindo-lhe sobreviver a reinicializações do sistema e continuar a recolher dados sensíveis.

O Que os Utilizadores Devem Fazer

Especialistas em segurança sublinham que a Microsoft não promove atualizações do sistema operativo através de anúncios nas redes sociais. As atualizações legítimas são entregues exclusivamente através da funcionalidade Windows Update integrada nas definições do sistema.

Utilizadores que clicaram em anúncios suspeitos ou transferiram ficheiros devem executar imediatamente uma análise completa do sistema usando software antivírus respeitável, como o Malwarebytes Free Scanner.

Para detentores de criptomoedas, a orientação é ainda mais urgente. Se se suspeitar que um dispositivo está comprometido, os fundos devem ser movidos para uma nova carteira gerada num dispositivo separado e limpo. Uma nova frase-semente deve ser criada, pois qualquer frase previamente exposta deve ser considerada permanentemente comprometida.

À medida que a adoção de criptomoedas cresce, os atacantes estão cada vez mais a combinar táticas tradicionais de malware com roubo de ativos digitais. Esta última campanha destaca como a engenharia social, combinada com branding polido e evasão técnica, pode transformar uma simples "atualização do sistema" num portal para perda financeira.

As informações fornecidas neste artigo destinam-se apenas a fins educativos e não constituem aconselhamento financeiro, de investimento ou de negociação. A Coindoo.com não recomenda nem apoia qualquer estratégia de investimento ou criptomoeda específica. Realize sempre a sua própria pesquisa e consulte um consultor financeiro licenciado antes de tomar qualquer decisão de investimento.

A publicação Anúncios Falsos do Windows 11 no Facebook Usados para Roubar Criptomoedas em Campanha de Malware Ativa apareceu primeiro em Coindoo.