Iklan Facebook Windows 11 Palsu Digunakan untuk Mencuri Kripto dalam Kampanye Malware Aktif

Operasi ini, yang terungkap pada Februari 2026 oleh peneliti dari PCMag dan Malwarebytes, menggunakan iklan bertema Microsoft yang meyakinkan untuk menipu pengguna agar memasang perangkat lunak berbahaya yang dirancang untuk mengosongkan dompet kripto.

Para penyerang tampaknya berfokus pada pengguna yang belum melakukan upgrade ke Windows 11 dan mungkin sedang aktif mencari opsi upgrade setelah berakhirnya timeline dukungan untuk Windows 10.

Cara Kerja Penipuan

Kampanye ini dimulai dengan iklan berbayar di Facebook yang menampilkan branding dan pesan profesional Microsoft yang menawarkan upgrade Windows 11 "gratis" atau "cepat". Iklan tersebut mengarahkan pengguna ke situs web palsu yang sangat mirip dengan halaman unduhan resmi Microsoft. Beberapa domain palsu bahkan menyebutkan "25H2" agar terlihat terkini dan sah.

Korban diminta untuk mengunduh file, yang sering diberi nama "ms-update32.exe," biasanya berukuran sekitar 75 MB. Installer di-hosting di repositori yang dikontrol penyerang, termasuk proyek tiruan di GitHub, memberikan lapisan tambahan legitimasi yang tampak nyata.

Dalam beberapa variasi, para penyerang melangkah lebih jauh dengan menggunakan prompt CAPTCHA palsu. Pengguna diperintahkan untuk menekan Windows + R, menempelkan perintah ke dalam dialog Run, dan menjalankan kode PowerShell berbahaya secara manual. Trik rekayasa sosial ini melewati peringatan unduhan tradisional dan meningkatkan kemungkinan infeksi.

Infostealer "LunarApplication" Menargetkan Aset Kripto

Setelah terpasang, malware menyebarkan infostealer yang tersembunyi di dalam folder bernama "LunarApplication." Nama tersebut tampaknya sengaja dipilih agar menyerupai alat terkait kripto yang sah, mengurangi kecurigaan di antara pemegang aset digital.

Tujuan utama malware adalah ekstraksi data. Malware memindai sistem untuk:

• Seed phrase dompet cryptocurrency
• Kredensial login exchange
• Kata sandi browser yang tersimpan
• Cookie sesi aktif

Dengan akses ke seed phrase atau sesi yang terautentikasi, penyerang dapat dengan cepat mentransfer dana dari dompet korban sebelum mereka menyadari apa yang terjadi.

Teknik Pengelakan Canggih

Peneliti mengatakan kampanye ini menggunakan beberapa taktik canggih untuk menghindari deteksi.

Geofencing adalah salah satu pertahanan utama. Jika situs web berbahaya mendeteksi lalu lintas dari pusat data, VPN yang umum digunakan oleh peneliti, atau rentang IP pemindai keamanan yang dikenal, situs akan mengalihkan pengunjung ke halaman beranda Google alih-alih menyajikan payload.

Installer juga memeriksa mesin virtual dan lingkungan analisis. Jika mendeteksi bahwa ia berjalan di dalam sandbox atau sistem yang dipantau, ia menolak untuk dieksekusi.

Untuk persistensi, malware menanamkan dirinya di registri Windows di bawah path HKEY_LOCAL_MACHINE\SYSTEM\Software\Microsoft\TIP\AggregateResults, memungkinkannya bertahan setelah sistem reboot dan terus mengumpulkan data sensitif.

Apa yang Harus Dilakukan Pengguna

Para ahli keamanan menekankan bahwa Microsoft tidak mempromosikan upgrade sistem operasi melalui iklan media sosial. Pembaruan yang sah dikirimkan secara eksklusif melalui fitur Windows Update bawaan di pengaturan sistem.

Pengguna yang telah mengklik iklan mencurigakan atau mengunduh file harus segera menjalankan pemindaian sistem penuh menggunakan perangkat lunak antivirus terpercaya seperti Malwarebytes Free Scanner.

Untuk pemegang cryptocurrency, panduannya bahkan lebih mendesak. Jika perangkat diduga telah disusupi, dana harus dipindahkan ke dompet baru yang dibuat di perangkat terpisah yang bersih. Seed phrase baru harus dibuat, karena setiap phrase yang sebelumnya terekspos harus dianggap telah dikompromikan secara permanen.

Seiring pertumbuhan adopsi kripto, penyerang semakin menggabungkan taktik malware tradisional dengan pencurian aset digital. Kampanye terbaru ini menyoroti bagaimana rekayasa sosial, dikombinasikan dengan branding yang dipoles dan pengelakan teknis, dapat mengubah "pembaruan sistem" sederhana menjadi pintu gerbang kerugian finansial.

Informasi yang disediakan dalam artikel ini hanya untuk tujuan edukasi dan bukan merupakan nasihat keuangan, investasi, atau perdagangan. Coindoo.com tidak mendukung atau merekomendasikan strategi investasi atau cryptocurrency tertentu. Selalu lakukan riset Anda sendiri dan konsultasikan dengan penasihat keuangan berlisensi sebelum membuat keputusan investasi apa pun.

Postingan Iklan Palsu Windows 11 di Facebook Digunakan untuk Mencuri Kripto dalam Kampanye Malware Aktif pertama kali muncul di Coindoo.