Peretas menyebarkan malware pencuri kripto melalui iklan Facebook

Peretas menargetkan pengguna kripto melalui peluncuran iklan pembaruan Windows 11 yang agresif di Facebook. 

Iklan palsu tersebut mencuri frasa benih dompet kripto, detail login, dan informasi sensitif lainnya. Selain itu, malware tersebut mengumpulkan kata sandi yang tersimpan dan sesi browser.

Peretas mempromosikan pembaruan Windows 11 palsu di Facebook

Menurut laporan Malwarebytes, peretas menggunakan branding Microsoft profesional untuk mempromosikan pembaruan Windows 11 palsu. Setelah korban mengklik iklan tersebut, mereka melihat situs web Microsoft tiruan dengan nama domain yang meniru domain Microsoft yang sah.

Para peretas menggunakan geofencing, yaitu teknik yang menargetkan pengguna reguler yang terhubung dari internet rumah atau kantor, dan menghindari alamat IP dari pusat data. Hal ini dilakukan untuk menghentikan pemindai otomatis dari mengekspos serangan tersebut.

Setelah korban melewati geofencing, mereka menerima installer berbahaya yang di-hosting di GitHub dan diunduh dari domain aman dengan sertifikat keamanan. Hal ini membuat serangan tersebut terlihat seperti unduhan Microsoft asli.

Installer berbahaya tersebut memiliki mekanisme penghindaran yang memindai mesin virtual dan alat analisis serta menghentikan eksekusi untuk menghindari deteksi. Namun, di komputer korban, malware tersebut menginstal dan mulai menginfeksi sistem.

Malware tersebut menginstal framework asli dalam folder bernama LunarApplication. Nama folder tersebut mirip dengan merek alat kripto yang disebut Lunar. Hal ini membuat malware terlihat sah bagi pengguna kripto, tetapi pada kenyataannya, malware tersebut menargetkan file dompet kripto dan frasa benih serta mengirim data ke peretas.  

Kampanye iklan Facebook berbahaya telah berjalan dalam waktu lama dan telah menghindari deteksi melalui teknik penghindaran yang canggih seperti geofencing.

Malware kripto menyebar melalui iklan media sosial

Ini bukan pertama kalinya peretas kripto memanfaatkan iklan Facebook untuk mencuri data dompet kripto. Tahun lalu, peretas memanfaatkan acara tahunan Pi2Day dan meluncurkan kampanye iklan Facebook berbahaya yang menargetkan pengguna kripto. 

Acara tahunan Pi2Day dirayakan oleh komunitas Pi Network pada 28 Juni. Selama acara terakhir, peretas meluncurkan 140 iklan palsu menggunakan branding Pi Network. Korban dialihkan ke situs web phishing yang mempromosikan token Pi gratis atau acara airdrop, tetapi sebagai imbalan untuk frasa pemulihan korban. 

Serangan phishing menargetkan korban dari berbagai wilayah, termasuk AS, Eropa, Australia, China, dan India. Serangan tersebut memikat korban melalui teknik lain, termasuk penambangan token Pi yang mudah di smartphone. 

Pada September tahun lalu, peneliti keamanan siber menemukan serangan lain berbasis iklan Meta yang mempromosikan akses gratis ke TradingView Premium. Peneliti dari Bitdefender Labs menemukan bahwa serangan tersebut menyebar ke iklan Google dan YouTube.

Para peretas membajak akun YouTube terverifikasi dan akun pengiklan Google serta meluncurkan iklan palsu untuk mengalihkan korban dan melakukan phishing informasi mereka. Penyalahgunaan akun YouTube terverifikasi biasanya memikat korban yang tidak curiga ke situs web berbahaya yang menyamar sebagai situs yang sah.

Menurut Bitdefender, salah satu iklan video palsu berjudul "Free TradingView Premium – Secret Method They Don't Want You to Know" telah ditonton lebih dari 182.000 kali dalam beberapa hari.

Deskripsi video menyertakan tautan ke file executable berbahaya. Video tersebut menampilkan teknik penghindaran yang menyebabkan pengguna melihat halaman yang tidak berbahaya jika penyerang tidak mengenali mereka sebagai target yang valid. Video tersebut tidak terdaftar, yang membuatnya tidak dapat dicari dan sulit dilaporkan ke Google.

Tidak ada laporan publik yang mengisolasi jumlah total cryptocurrency yang dicuri khusus melalui iklan palsu. Namun, diperkirakan $17 miliar hilang akibat penipuan kripto pada tahun 2025 berdasarkan data Chainalysis.

Malware Infostealer mempengaruhi jutaan perangkat dan mencuri sekitar 1,8 miliar kredensial pada tahun 2025, menurut perusahaan keamanan siber DeepStrike. "Apa pun yang memiliki uang terkait dengan perbankan online, PayPal, dompet cryptocurrency jelas menjadi incaran penjahat siber," demikian laporan tersebut.

Bergabunglah dengan komunitas trading kripto premium gratis selama 30 hari - biasanya $100/bulan.