Hackers verspreiden cryptosteelende malware via Facebook-advertenties

Hackers richten zich op cryptogebruikers door agressieve Windows 11-update-advertenties op Facebook te lanceren. 

De nepadvertenties stelen seed phrases van cryptowallets, inloggegevens en andere gevoelige informatie. Bovendien verzamelt de malware opgeslagen wachtwoorden en browsersessies.

Hackers promoten nep Windows 11-updates op Facebook

Volgens een rapport van Malwarebytes gebruiken hackers professionele Microsoft-branding om de nep Windows 11-update te promoten. Zodra een slachtoffer op de advertentie klikt, zien ze een gekloonde Microsoft-website met een domeinnaam die legitieme Microsoft-domeinen nabootst.

De hackers gebruiken geofencing, een techniek die zich richt op gewone gebruikers die verbinding maken vanaf thuisinternet of kantoren, en vermijdt IP-adressen van datacenters. Dit wordt gedaan om te voorkomen dat geautomatiseerde scanners de aanval blootleggen.

Zodra het slachtoffer de geofencing passeert, ontvangen ze een kwaadaardige installer die wordt gehost op GitHub en gedownload vanaf een beveiligd domein met een beveiligingscertificaat. Dit zorgt ervoor dat de aanval eruitziet als een echte Microsoft-download.

De kwaadaardige installer heeft een ontwijkingsmechanisme dat scant op virtuele machines en analysetools en de uitvoering stopt om detectie te vermijden. Op de computer van een slachtoffer installeert de malware zich echter en begint het systeem te infecteren.

De malware installeert een echt framework in een map met de naam LunarApplication. De mapnaam lijkt op een cryptotoolingmerk genaamd Lunar. Hierdoor lijkt de malware legitiem voor cryptogebruikers, maar in werkelijkheid richt het zich op cryptowalletbestanden en seed phrases en stuurt het de gegevens naar hackers.  

De kwaadaardige Facebook-advertentiecampagnes lopen al lange tijd en hebben detectie vermeden door geavanceerde ontwijkingstechnieken zoals geofencing.

Cryptomalware verspreidt zich via social media-advertenties

Dit is niet de eerste keer dat cryptohackers Facebook-advertenties hebben gebruikt om cryptowalletgegevens te stelen. Vorig jaar maakten hackers gebruik van het jaarlijkse Pi2Day-evenement en lanceerden kwaadaardige Facebook-advertentiecampagnes gericht op cryptogebruikers. 

Het jaarlijkse Pi2Day-evenement wordt op 28 juni gevierd door de Pi Network-gemeenschap. Tijdens het laatste evenement lanceerden hackers 140 nepadvertenties met Pi Network-branding. Slachtoffers werden doorverwezen naar phishingwebsites die gratis Pi-tokens of airdrop-evenementen promootten, maar in ruil voor de herstelzin van het slachtoffer. 

De phishingaanval richtte zich op slachtoffers uit verschillende regio's, waaronder de VS, Europa, Australië, China en India. Het lokte slachtoffers via andere technieken, waaronder eenvoudige Pi-tokenmining op smartphones. 

In september vorig jaar ontdekten cyberbeveiligingsonderzoekers een andere op Meta-advertenties gebaseerde aanval die gratis toegang tot TradingView Premium promootte. Onderzoekers van Bitdefender Labs ontdekten dat de aanval zich verspreidde naar Google- en YouTube-advertenties.

De hackers kaapten een geverifieerd YouTube-account en een Google-adverteerderaccount en lanceerden nepadvertenties om slachtoffers om te leiden en hun informatie te phishen. Het misbruiken van geverifieerde YouTube-accounts lokt meestal nietsvermoedende slachtoffers naar kwaadaardige websites die zich voordoen als legitieme.

Volgens Bitdefender werd een van de nepvideoadvertenties met de titel "Free TradingView Premium – Secret Method They Don't Want You to Know" in een paar dagen meer dan 182.000 keer bekeken.

De videobeschrijving bevat een link naar het kwaadaardige uitvoerbare bestand. Het bevat een ontwijkingstechniek die ervoor zorgt dat de gebruiker een onschadelijke pagina ziet als de aanvallers hen niet herkennen als een geldig doelwit. De video was niet vermeld, waardoor deze onvindbaar en moeilijk te rapporteren aan Google is.

Er is geen openbaar rapport dat het totale bedrag aan cryptocurrency dat specifiek via nepadvertenties is gestolen, isoleert. Op basis van Chainalysis-gegevens ging er echter naar schatting $17 miljard verloren aan cryptozwendel in 2025.

Infostealer-malware trof miljoenen apparaten en stal ongeveer 1,8 miljard inloggegevens in 2025, volgens cyberbeveiligingsbedrijf DeepStrike. "Alles met geld verbonden aan online bankieren, PayPal, cryptocurrency-wallets wordt uiteraard gewaardeerd door cybercriminelen," verklaarde het rapport.

Word 30 dagen gratis lid van een premium cryptohandelsgemeenschap - normaal $100/maand.