Фальшивые Facebook-объявления о Windows 11 используются для кражи криптовалюты в активной вредоносной кампании

Операция, обнаруженная в феврале 2026 года исследователями PCMag и Malwarebytes, использует убедительную рекламу в стиле Microsoft, чтобы обманом заставить пользователей установить вредоносное программное обеспечение, предназначенное для опустошения криптокошельков.

Злоумышленники, по-видимому, сосредоточены на пользователях, которые еще не обновились до Windows 11 и могут активно искать варианты обновления после окончания срока поддержки Windows 10.

Как работает мошенничество

Кампания начинается с платных объявлений в Facebook с профессиональным брендингом Microsoft и сообщениями, предлагающими "бесплатное" или "быстрое" обновление до Windows 11. Объявления перенаправляют пользователей на поддельные веб-сайты, которые точно имитируют официальные страницы загрузки Microsoft. Некоторые фальшивые домены даже ссылаются на "25H2", чтобы выглядеть актуальными и легитимными.

Жертвам предлагается загрузить файл, часто названный "ms-update32.exe", обычно размером около 75 МБ. Установщик размещается в репозиториях, контролируемых злоумышленниками, включая клонированные проекты на GitHub, что придает ему дополнительный уровень кажущейся легитимности.

В некоторых вариантах злоумышленники идут дальше, используя поддельные CAPTCHA-запросы. Пользователям предлагается нажать Windows + R, вставить команду в диалог "Выполнить" и вручную выполнить вредоносный код PowerShell. Этот трюк социальной инженерии обходит традиционные предупреждения о загрузке и увеличивает вероятность заражения.

"LunarApplication" — похититель информации, нацеленный на криптоактивы

После установки вредоносное ПО развертывает похитителя информации, скрытого внутри папки с именем "LunarApplication". Название, по-видимому, намеренно выбрано так, чтобы напоминать легитимные инструменты, связанные с криптовалютой, снижая подозрения среди держателей цифровых активов.

Основная цель вредоносного ПО — извлечение данных. Оно сканирует систему на предмет:

• Мнемонические слова криптовалютных кошельков
• Учетные данные для входа на биржи
• Сохраненные пароли браузера
• Активные куки сеанса

Имея доступ к мнемоническим словам или аутентифицированным сеансам, злоумышленники могут быстро перевести средства из кошельков жертв, прежде чем те поймут, что произошло.

Продвинутые методы уклонения

Исследователи утверждают, что кампания использует несколько сложных тактик, чтобы избежать обнаружения.

Геофенсинг — одна из ключевых защит. Если вредоносный веб-сайт обнаруживает трафик из центра обработки данных, VPN, обычно используемого исследователями, или известного диапазона IP-адресов сканера безопасности, он перенаправляет посетителей на домашнюю страницу Google вместо доставки полезной нагрузки.

Установщик также проверяет наличие виртуальных машин и аналитических сред. Если он обнаруживает, что работает внутри песочницы или контролируемой системы, он отказывается выполняться.

Для сохранения вредоносное ПО внедряется в реестр Windows по пути HKEY_LOCAL_MACHINE\SYSTEM\Software\Microsoft\TIP\AggregateResults, что позволяет ему пережить перезагрузки системы и продолжать собирать конфиденциальные данные.

Что должны делать пользователи

Эксперты по безопасности подчеркивают, что Microsoft не продвигает обновления операционной системы через рекламу в социальных сетях. Легитимные обновления доставляются исключительно через встроенную функцию Windows Update в настройках системы.

Пользователи, которые нажали на подозрительные объявления или загрузили файлы, должны немедленно запустить полное сканирование системы с использованием надежного антивирусного программного обеспечения, такого как Malwarebytes Free Scanner.

Для держателей криптовалюты рекомендации еще более срочные. Если есть подозрение, что устройство скомпрометировано, средства следует переместить в новый кошелек, созданный на отдельном, чистом устройстве. Необходимо создать новое мнемоническое слово, поскольку любая ранее раскрытая фраза должна считаться навсегда скомпрометированной.

По мере роста принятия криптовалют злоумышленники все чаще объединяют традиционные тактики вредоносного ПО с кражей цифровых активов. Эта последняя кампания подчеркивает, как социальная инженерия в сочетании с отточенным брендингом и техническим уклонением может превратить простое "обновление системы" в путь к финансовым потерям.

Информация, представленная в этой статье, предназначена только для образовательных целей и не является финансовой, инвестиционной или торговой консультацией. Coindoo.com не одобряет и не рекомендует какую-либо конкретную инвестиционную стратегию или криптовалюту. Всегда проводите собственное исследование и консультируйтесь с лицензированным финансовым консультантом, прежде чем принимать какие-либо инвестиционные решения.

Пост "Фальшивые объявления Windows 11 в Facebook используются для кражи криптовалюты в активной вредоносной кампании" впервые появился на Coindoo.