Os anúncios falsos roubam frases-semente de carteiras de criptomoedas, dados de login e outras informações sensíveis. Além disso, o malware coleta senhas salvas e sessões do navegador.
Hackers promovem falsas atualizações do Windows 11 no Facebook
De acordo com um relatório da Malwarebytes, hackers utilizam uma identidade visual profissional da Microsoft para promover a falsa atualização do Windows 11. Quando a vítima clica no anúncio, ela visualiza um site clonado da Microsoft com um nome de domínio imitando domínios legítimos da Microsoft.
Os hackers utilizam geofencing, uma técnica que mira usuários comuns que se conectam de internet residencial ou de escritórios, evitando endereços IP de data centers. Isso é feito para impedir que scanners automatizados exponham o ataque.
Uma vez que a vítima ultrapassa o geofencing, ela recebe um instalador malicioso, hospedado no GitHub e baixado de um domínio seguro com certificado de segurança. Isso faz o ataque parecer um download legítimo da Microsoft.
O instalador malicioso possui um mecanismo de evasão que escaneia máquinas virtuais e ferramentas de análise, interrompendo a execução para evitar detecção. No entanto, no computador da vítima, o malware se instala e começa a infectar o sistema.
O malware instala um framework real em uma pasta chamada LunarApplication. O nome da pasta é semelhante a uma marca de ferramentas de criptomoedas chamada Lunar. Isso faz com que o malware pareça legítimo para usuários de criptomoedas, mas na realidade, ele mira arquivos de carteiras de criptomoedas e frases-semente, enviando os dados para os hackers.
As campanhas de anúncios maliciosos no Facebook estão em execução há muito tempo e têm evitado detecção por meio de técnicas sofisticadas de evasão, como geofencing.
Malware de criptomoedas se espalha por anúncios em redes sociais
Esta não é a primeira vez que hackers de criptomoedas utilizam anúncios no Facebook para roubar dados de carteiras de criptomoedas. No ano passado, hackers aproveitaram o evento anual Pi2Day e lançaram campanhas de anúncios maliciosos no Facebook voltadas para usuários de criptomoedas.
O evento anual Pi2Day é celebrado pela comunidade Pi Network em 28 de junho. Durante o último evento, hackers lançaram 140 anúncios falsos usando a identidade visual da Pi Network. As vítimas eram redirecionadas para sites de phishing que promoviam Pi tokens gratuitos ou eventos de airdrop, mas em troca da frase de recuperação da vítima.
O ataque de phishing teve como alvo vítimas de várias regiões, incluindo EUA, Europa, Austrália, China e Índia. As vítimas eram atraídas por outras técnicas, incluindo mineração fácil de Pi tokens em smartphones.
Em setembro do ano passado, pesquisadores de segurança cibernética descobriram outro ataque baseado em anúncios da Meta promovendo acesso gratuito ao TradingView Premium. Pesquisadores do Bitdefender Labs descobriram que o ataque se espalhou para anúncios no Google e no YouTube.
Os hackers sequestraram uma conta verificada do YouTube e uma conta de anunciante do Google, lançando anúncios falsos para redirecionar as vítimas e capturar suas informações. O abuso de contas verificadas do YouTube geralmente engana vítimas desavisadas para sites maliciosos que se passam por legítimos.
De acordo com a Bitdefender, um dos vídeos falsos intitulado “Free TradingView Premium – Secret Method They Don’t Want You to Know” foi visualizado mais de 182.000 vezes em poucos dias.
A descrição do vídeo inclui um link para o executável malicioso. Ele possui uma técnica de evasão que faz com que o usuário veja uma página inofensiva se os atacantes não o reconhecerem como um alvo válido. O vídeo estava não listado, o que o torna não pesquisável e difícil de ser denunciado ao Google.
Não há um relatório público isolando o valor total de criptomoedas roubadas especificamente através de anúncios falsos. Porém, estima-se que US$ 17 bilhões foram perdidos para golpes de criptomoedas em 2025 segundo dados da Chainalysis.
Malwares do tipo infostealer afetaram milhões de dispositivos e roubaram cerca de 1,8 bilhão de credenciais em 2025, de acordo com a empresa de segurança cibernética DeepStrike. “Qualquer coisa ligada a dinheiro, como bancos online, PayPal, carteiras de criptomoedas, é obviamente valorizada por cibercriminosos”, afirmou o relatório.
