假冒 Windows 11 Facebook 廣告用於在活躍惡意軟體攻擊活動中竊取加密貨幣

這項行動於 2026 年 2 月由 PCMag 和 Malwarebytes 的研究人員發現,利用具說服力的 Microsoft 主題廣告誘騙使用者安裝旨在清空加密貨幣錢包的惡意軟體。

攻擊者似乎專注於尚未升級到 Windows 11 的使用者,這些使用者可能在 Windows 10 停止支援期限後正積極尋找升級選項。

詐騙如何運作

此活動從付費 Facebook 廣告開始,這些廣告展示專業的 Microsoft 品牌形象和訊息,提供「免費」或「快速」的 Windows 11 升級。廣告將使用者重新導向至高度仿冒官方 Microsoft 下載頁面的偽造網站。一些假網域甚至引用「25H2」以顯得最新且合法。

受害者被提示下載一個檔案,通常名為「ms-update32.exe」,大小通常約為 75 MB。安裝程式託管在攻擊者控制的儲存庫上,包括 GitHub 上的複製專案,這為其增加了額外的可信度外觀。

在某些變體中,攻擊者更進一步使用假 CAPTCHA 提示。使用者被指示按下 Windows + R,將指令貼上到執行對話框中,並手動執行惡意的 PowerShell 程式碼。這種社交工程技巧繞過了傳統的下載警告,並增加了感染的可能性。

「LunarApplication」資訊竊取程式以加密資產為目標

安裝後,惡意軟體會部署隱藏在名為「LunarApplication」資料夾內的資訊竊取程式。這個名稱似乎是刻意選擇來模仿合法的加密貨幣相關工具,以降低數位資產持有者的疑慮。

惡意軟體的主要目標是資料提取。它掃描系統以尋找:

• 加密貨幣錢包助記詞
• 交易所登入憑證
• 已儲存的瀏覽器密碼
• 活躍的工作階段 Cookie

透過取得助記詞或已驗證的工作階段,攻擊者可以在受害者意識到發生了什麼之前,迅速將資金從受害者的錢包轉出。

進階規避技術

研究人員表示,該活動使用了幾種複雜的策略來避免被檢測。

地理圍欄是關鍵防禦之一。如果惡意網站檢測到來自資料中心、研究人員常用的 VPN 或已知安全掃描器 IP 範圍的流量,它會將訪客重新導向至 Google 首頁,而不是提供惡意載荷。

安裝程式還會檢查虛擬機器和分析環境。如果檢測到它正在沙盒或受監控系統內執行,它會拒絕執行。

為了持久性,惡意軟體將自己嵌入到 Windows 登錄檔的 HKEY_LOCAL_MACHINE\SYSTEM\Software\Microsoft\TIP\AggregateResults 路徑下,使其能夠在系統重新啟動後存活並繼續竊取敏感資料。

使用者應該採取的措施

安全專家強調,Microsoft 不會透過社交媒體廣告推廣作業系統升級。合法的更新僅透過系統設定中內建的 Windows Update 功能提供。

點擊過可疑廣告或下載過檔案的使用者應立即使用信譽良好的防毒軟體(如 Malwarebytes Free Scanner)執行完整的系統掃描。

對於加密貨幣持有者來說,指引甚至更為緊迫。如果懷疑裝置已被入侵,應將資金轉移到在另一台乾淨裝置上生成的新錢包。必須建立新的助記詞,因為任何之前暴露的助記詞都應被視為永久性洩露。

隨著加密貨幣採用率的增加,攻擊者越來越多地將傳統惡意軟體策略與數位資產盜竊相結合。這次最新的活動突顯了社交工程如何與精緻的品牌形象和技術規避相結合,將簡單的「系統更新」變成財務損失的入口。

本文提供的資訊僅供教育目的,不構成財務、投資或交易建議。Coindoo.com 不認可或推薦任何特定的投資策略或加密貨幣。在做出任何投資決策之前,請務必進行自己的研究並諮詢持有執照的財務顧問。

文章《假 Windows 11 Facebook 廣告在活躍惡意軟體活動中被用來竊取加密貨幣》首次發表於 Coindoo。