Les fausses publicités volent les phrases de récupération de portefeuilles crypto, les identifiants de connexion et d'autres informations sensibles. De plus, le malware récolte les mots de passe enregistrés et les sessions de navigateur.
Les hackers promeuvent de fausses mises à jour Windows 11 sur Facebook
Selon un rapport de Malwarebytes, les hackers utilisent des éléments de marque Microsoft professionnels pour promouvoir la fausse mise à jour Windows 11. Lorsqu'une victime clique sur la publicité, elle voit un site web Microsoft cloné avec un nom de domaine imitant les domaines légitimes de Microsoft.
Les hackers utilisent le géorepérage, une technique qui cible les utilisateurs réguliers se connectant depuis leur domicile ou leur bureau, tout en évitant les adresses IP provenant de centres de données. Cela permet d'empêcher les scanners automatisés de dévoiler l'attaque.
Une fois la victime passée par le géorepérage, elle reçoit un programme d'installation malveillant, hébergé sur GitHub et téléchargé depuis un domaine sécurisé avec un certificat de sécurité. Cela donne à l'attaque l'apparence d'un téléchargement Microsoft authentique.
Le programme d'installation malveillant dispose d'un mécanisme d'évasion qui recherche les machines virtuelles et les outils d'analyse, et stoppe l'exécution pour éviter la détection. Cependant, sur l'ordinateur d'une victime, le malware s'installe et commence à infecter le système.
Le malware installe un vrai framework dans un dossier nommé LunarApplication. Le nom du dossier est similaire à une marque d'outils crypto appelée Lunar. Cela donne au malware une apparence légitime aux yeux des utilisateurs de crypto, mais en réalité, il cible les fichiers de portefeuilles crypto et les phrases de récupération, et envoie les données aux hackers.
Les campagnes publicitaires malveillantes sur Facebook sont actives depuis longtemps et ont évité la détection grâce à des techniques d'évasion sophistiquées telles que le géorepérage.
Les malwares crypto se propagent via des publicités sur les réseaux sociaux
Ce n'est pas la première fois que des hackers crypto utilisent des publicités Facebook pour dérober les données des portefeuilles crypto. L'année dernière, des hackers ont profité de l'événement annuel Pi2Day et ont lancé des campagnes publicitaires malveillantes sur Facebook ciblant les utilisateurs de crypto.
L'événement annuel Pi2Day est célébré par la communauté Pi Network le 28 juin. Lors du dernier événement, les hackers ont lancé 140 fausses publicités utilisant l'image de Pi Network. Les victimes étaient redirigées vers des sites de phishing promouvant des tokens Pi gratuits ou des évènements d'airdrop, mais en échange de la phrase de récupération de la victime.
L'attaque de phishing visait des victimes de plusieurs régions, notamment les États-Unis, l'Europe, l'Australie, la Chine et l'Inde. Elle attirait les victimes à travers d'autres techniques, y compris la promesse d'un minage de tokens Pi facile sur smartphone.
En septembre de l'année dernière, des chercheurs en cybersécurité ont découvert une autre attaque basée sur des publicités Meta promouvant un accès gratuit à TradingView Premium. Les chercheurs de Bitdefender Labs ont constaté que l'attaque s'était propagée aux publicités Google et YouTube.
Les hackers ont détourné un compte YouTube vérifié et un compte d'annonceur Google et ont lancé de fausses publicités pour rediriger les victimes et voler leurs informations. L'exploitation de comptes YouTube vérifiés attire généralement des victimes inattentives vers des sites malveillants se faisant passer pour des sites légitimes.
Selon Bitdefender, l'une des fausses publicités vidéo intitulée « Free TradingView Premium – Secret Method They Don’t Want You to Know » a été visionnée plus de 182 000 fois en quelques jours.
La description de la vidéo inclut un lien vers l'exécutable malveillant. Elle présente une technique d'évasion qui fait apparaître une page inoffensive à l'utilisateur si les attaquants ne le reconnaissent pas comme une cible valide. La vidéo était non répertoriée, ce qui la rend non référencée et difficile à signaler auprès de Google.
Il n'existe aucun rapport public isolant le montant total de crypto-monnaies volées spécifiquement via de fausses publicités. Cependant, on estime à 17 milliards de dollars les pertes dues aux arnaques crypto en 2025 selon les données de Chainalysis.
Les malwares de type infostealer ont affecté des millions d'appareils et volé environ 1,8 milliard de données d'identification en 2025, selon la société de cybersécurité DeepStrike. « Tout ce qui est lié à de l'argent sur la banque en ligne, PayPal, les portefeuilles de crypto-monnaies est évidemment très prisé par les cybercriminels », indique le rapport.
