नकली Windows 11 Facebook विज्ञापनों का उपयोग सक्रिय मैलवेयर अभियान में क्रिप्टो चोरी के लिए किया गया

फरवरी 2026 में PCMag और Malwarebytes के शोधकर्ताओं द्वारा उजागर किया गया यह ऑपरेशन, उपयोगकर्ताओं को क्रिप्टो वॉलेट खाली करने के लिए डिज़ाइन किए गए दुर्भावनापूर्ण सॉफ़्टवेयर इंस्टॉल करने के लिए धोखा देने के लिए विश्वसनीय Microsoft-थीम वाले विज्ञापन का उपयोग करता है।

हमलावर उन उपयोगकर्ताओं पर ध्यान केंद्रित कर रहे हैं जिन्होंने अभी तक Windows 11 में अपग्रेड नहीं किया है और Windows 10 के लिए समर्थन समाप्ति समयरेखा के बाद सक्रिय रूप से अपग्रेड विकल्पों की खोज कर रहे हैं।

घोटाला कैसे काम करता है

यह अभियान पेशेवर Microsoft ब्रांडिंग और संदेश के साथ सशुल्क Facebook विज्ञापनों से शुरू होता है जो "मुफ्त" या "तेज" Windows 11 अपग्रेड की पेशकश करते हैं। विज्ञापन उपयोगकर्ताओं को नकली वेबसाइटों पर रीडायरेक्ट करते हैं जो आधिकारिक Microsoft डाउनलोड पृष्ठों की बारीकी से नकल करते हैं। कुछ नकली डोमेन वर्तमान और वैध दिखने के लिए "25H2" का भी संदर्भ देते हैं।

पीड़ितों को एक फ़ाइल डाउनलोड करने के लिए प्रेरित किया जाता है, जिसका नाम अक्सर "ms-update32.exe" होता है, आमतौर पर आकार में लगभग 75 MB। इंस्टॉलर हमलावर-नियंत्रित रिपॉजिटरी पर होस्ट किया जाता है, जिसमें GitHub पर क्लोन किए गए प्रोजेक्ट शामिल हैं, जो इसे कथित वैधता की एक अतिरिक्त परत देता है।

कुछ विविधताओं में, हमलावर नकली CAPTCHA प्रॉम्प्ट का उपयोग करके आगे बढ़ते हैं। उपयोगकर्ताओं को Windows + R दबाने, Run डायलॉग में एक कमांड पेस्ट करने और मैन्युअल रूप से दुर्भावनापूर्ण PowerShell कोड निष्पादित करने के लिए निर्देशित किया जाता है। यह सोशल इंजीनियरिंग ट्रिक पारंपरिक डाउनलोड चेतावनियों को बायपास करता है और संक्रमण की संभावना को बढ़ाता है।

"LunarApplication" इन्फोस्टीलर क्रिप्टो संपत्ति को लक्षित करता है

एक बार इंस्टॉल होने के बाद, मैलवेयर "LunarApplication" नामक फ़ोल्डर के अंदर छिपे एक इन्फोस्टीलर को तैनात करता है। यह नाम जानबूझकर वैध क्रिप्टो-संबंधित उपकरणों से मिलता-जुलता चुना गया प्रतीत होता है, जो डिजिटल संपत्ति धारकों के बीच संदेह को कम करता है।

मैलवेयर का प्राथमिक लक्ष्य डेटा निष्कर्षण है। यह निम्नलिखित के लिए सिस्टम को स्कैन करता है:

• क्रिप्टोकरेंसी वॉलेट सीड फ्रेज
• एक्सचेंज लॉगिन क्रेडेंशियल
• सहेजे गए ब्राउज़र पासवर्ड
• सक्रिय सत्र कुकीज़

सीड फ्रेज या प्रमाणित सत्रों तक पहुंच के साथ, हमलावर पीड़ितों के वॉलेट से धन को जल्दी से स्थानांतरित कर सकते हैं इससे पहले कि उन्हें एहसास हो कि क्या हुआ है।

उन्नत चोरी तकनीकें

शोधकर्ताओं का कहना है कि यह अभियान पता लगाने से बचने के लिए कई परिष्कृत रणनीतियों का उपयोग करता है।

जियोफेंसिंग प्रमुख सुरक्षा में से एक है। यदि दुर्भावनापूर्ण वेबसाइट किसी डेटा सेंटर, शोधकर्ताओं द्वारा आमतौर पर उपयोग किए जाने वाले VPN, या ज्ञात सुरक्षा स्कैनर IP रेंज से ट्रैफ़िक का पता लगाती है, तो यह पेलोड परोसने के बजाय आगंतुकों को Google के होमपेज पर रीडायरेक्ट करती है।

इंस्टॉलर वर्चुअल मशीनों और विश्लेषण वातावरण की भी जांच करता है। यदि यह पता लगाता है कि यह सैंडबॉक्स या निगरानी प्रणाली के अंदर चल रहा है, तो यह निष्पादित करने से इनकार करता है।

दृढ़ता के लिए, मैलवेयर खुद को HKEY_LOCAL_MACHINE\SYSTEM\Software\Microsoft\TIP\AggregateResults पथ के तहत Windows रजिस्ट्री में एम्बेड करता है, जिससे यह सिस्टम रीबूट से बच सकता है और संवेदनशील डेटा एकत्र करना जारी रख सकता है।

उपयोगकर्ताओं को क्या करना चाहिए

सुरक्षा विशेषज्ञों का जोर है कि Microsoft सोशल मीडिया विज्ञापनों के माध्यम से ऑपरेटिंग सिस्टम अपग्रेड को बढ़ावा नहीं देता है। वैध अपडेट विशेष रूप से सिस्टम सेटिंग्स में अंतर्निहित Windows Update सुविधा के माध्यम से वितरित किए जाते हैं।

जिन उपयोगकर्ताओं ने संदिग्ध विज्ञापनों पर क्लिक किया है या फ़ाइलें डाउनलोड की हैं, उन्हें तुरंत Malwarebytes Free Scanner जैसे प्रतिष्ठित एंटीवायरस सॉफ़्टवेयर का उपयोग करके पूर्ण सिस्टम स्कैन चलाना चाहिए।

क्रिप्टोकरेंसी धारकों के लिए, मार्गदर्शन और भी अधिक तत्काल है। यदि किसी डिवाइस के समझौता होने का संदेह है, तो धन को एक अलग, स्वच्छ डिवाइस पर उत्पन्न नए वॉलेट में स्थानांतरित किया जाना चाहिए। एक नया सीड फ्रेज बनाया जाना चाहिए, क्योंकि किसी भी पूर्व में उजागर फ्रेज को स्थायी रूप से समझौता माना जाना चाहिए।

जैसे-जैसे क्रिप्टो अपनाना बढ़ता है, हमलावर पारंपरिक मैलवेयर रणनीतियों को डिजिटल संपत्ति चोरी के साथ तेजी से मिश्रित कर रहे हैं। यह नवीनतम अभियान इस बात पर प्रकाश डालता है कि कैसे सोशल इंजीनियरिंग, पॉलिश ब्रांडिंग और तकनीकी चोरी के साथ मिलकर, एक साधारण "सिस्टम अपडेट" को वित्तीय नुकसान के लिए एक प्रवेश द्वार में बदल सकती है।

इस लेख में प्रदान की गई जानकारी केवल शैक्षिक उद्देश्यों के लिए है और यह वित्तीय, निवेश या ट्रेडिंग सलाह नहीं है। Coindoo.com किसी विशिष्ट निवेश रणनीति या क्रिप्टोकरेंसी का समर्थन या अनुशंसा नहीं करता है। किसी भी निवेश निर्णय लेने से पहले हमेशा अपना खुद का शोध करें और लाइसेंस प्राप्त वित्तीय सलाहकार से परामर्श करें।

पोस्ट Fake Windows 11 Facebook Ads Used to Steal Crypto in Active Malware Campaign पहली बार Coindoo पर प्रकाशित हुई।