Fałszywe reklamy kradną frazy seed portfeli kryptowalutowych, dane logowania oraz inne wrażliwe informacje. Co więcej, złośliwe oprogramowanie zbiera zapisane hasła oraz sesje przeglądarki.
Hakerzy promują fałszywe aktualizacje Windows 11 na Facebooku
Według raportu Malwarebytes, hakerzy wykorzystują profesjonalną identyfikację wizualną Microsoft do promowania fałszywej aktualizacji Windows 11. Po kliknięciu reklamy, ofiara widzi sklonowaną stronę Microsoft z nazwą domeny naśladującą prawdziwe domeny Microsoft.
Hakerzy stosują geofencing – technikę kierującą atak na zwykłych użytkowników łączących się z internetu domowego lub biurowego, omijając adresy IP z centrów danych. Ma to na celu uniemożliwienie automatycznym skanerom wykrycie ataku.
Po przejściu przez geofencing, ofiara otrzymuje złośliwy instalator, który jest hostowany na GitHub i pobierany z bezpiecznej domeny z certyfikatem bezpieczeństwa. Sprawia to, że atak wygląda na autentyczne pobranie od Microsoft.
Złośliwy instalator wyposażony jest w mechanizmy unikania wykrycia – skanuje, czy nie jest uruchamiany na maszynie wirtualnej lub nie jest poddawany analizie i przerywa działanie, by zapobiec wykryciu. Jednak na komputerze ofiary malware instaluje się i zaczyna infekować system.
Złośliwe oprogramowanie instaluje prawdziwy framework w folderze o nazwie LunarApplication. Nazwa folderu jest podobna do marki narzędzi kryptowalutowych Lunar. Ma to sprawić, by malware wydawał się legalny dla użytkowników kryptowalut, jednak w rzeczywistości atakuje pliki portfeli kryptowalutowych oraz frazy seed i przesyła dane do hakerów.
Złośliwe kampanie reklamowe na Facebooku trwają już od dłuższego czasu i unikają wykrycia dzięki zaawansowanym technikom, takim jak geofencing.
Malware kryptowalutowe rozprzestrzenia się przez reklamy w mediach społecznościowych
To nie pierwszy raz, kiedy hakerzy kryptowalutowi wykorzystują reklamy na Facebooku do kradzieży danych portfeli. W zeszłym roku hakerzy wykorzystali coroczne wydarzenie Pi2Day i uruchomili złośliwe kampanie reklamowe na Facebooku skierowane do użytkowników kryptowalut.
Coroczne wydarzenie Pi2Day jest obchodzone przez społeczność Pi Network 28 czerwca. Podczas ostatniego wydarzenia hakerzy uruchomili 140 fałszywych reklam wykorzystujących markę Pi Network. Ofiary były przekierowywane na strony phishingowe, które promowały darmowe tokeny Pi lub wydarzenia airdrop, w zamian za podanie frazy odzyskiwania portfela.
Atak phishingowy był wymierzony w ofiary z różnych regionów, w tym z USA, Europy, Australii, Chin i Indii. Przyciągano ofiary także innymi metodami, np. obietnicą łatwego kopania tokenów Pi na smartfonach.
We wrześniu zeszłego roku badacze cyberbezpieczeństwa odkryli kolejny atak z wykorzystaniem reklam Meta, promujący darmowy dostęp do TradingView Premium. Badacze z Bitdefender Labs ustalili, że atak rozprzestrzeniał się też przez reklamy Google i YouTube.
Hakerzy przejęli zweryfikowane konto YouTube oraz konto reklamodawcy Google i uruchomili fałszywe reklamy, aby przekierowywać ofiary i wyłudzać ich dane. Nadużywanie zweryfikowanych kont YouTube zwykle przyciąga nieświadome ofiary na złośliwe strony podszywające się pod legalne.
Według Bitdefender, jeden z fałszywych spotów wideo zatytułowany “Free TradingView Premium – Secret Method They Don’t Want You to Know” został obejrzany ponad 182 000 razy w ciągu kilku dni.
Opis filmu zawierał link do złośliwego pliku wykonywalnego. Zastosowano technikę unikania wykrycia, dzięki której użytkownik widzi nieszkodliwą stronę, jeśli atakujący nie rozpoznają go jako właściwego celu. Film był niepubliczny, przez co nie dało się go łatwo wyszukać ani zgłosić do Google.
Nie ma publicznego raportu określającego łączną kwotę kryptowalut skradzionych wyłącznie przez fałszywe reklamy. Jednak według danych Chainalysis w 2025 roku szacunkowo stracono 17 miliardów dolarów na oszustwach kryptowalutowych.
Według firmy cyberbezpieczeństwa DeepStrike, malware typu infostealer zainfekowało miliony urządzeń i ukradło około 1,8 miliarda danych uwierzytelniających w 2025 roku. “Wszystko, co jest powiązane z pieniędzmi – bankowość internetowa, PayPal, portfele kryptowalutowe – jest oczywiście cenne dla cyberprzestępców” – stwierdzono w raporcie.
