黑客通过Facebook广告传播加密货币窃取恶意软件

黑客通过在 Facebook 上发布激进的 Windows 11 更新广告来攻击加密货币用户。 

这些虚假广告窃取加密钱包助记词、登录详情和其他敏感信息。此外,恶意软件还会收集保存的密码和浏览器会话。

黑客在 Facebook 上推广虚假 Windows 11 更新

根据 Malwarebytes 的报告,黑客使用专业的微软品牌来推广虚假的 Windows 11 更新。一旦受害者点击广告,他们会看到一个克隆的微软网站,其域名模仿合法的微软域名。

黑客使用地理围栏技术,这是一种针对从家庭互联网或办公室连接的普通用户的技术,它避开来自数据中心的 IP 地址。这样做是为了阻止自动扫描器暴露攻击。

一旦受害者通过地理围栏,他们会收到一个恶意安装程序,该程序托管在 GitHub 上,并从具有安全证书的安全域名下载。这使得攻击看起来像真正的微软下载。

恶意安装程序具有规避机制,可以扫描虚拟机和分析工具,并停止执行以避免被检测。然而,在受害者的电脑上,恶意软件会安装并开始感染系统。

恶意软件在名为 LunarApplication 的文件夹中安装一个真实的框架。该文件夹名称与名为 Lunar 的加密工具品牌相似。这使得恶意软件在加密货币用户看来是合法的,但实际上,它针对加密钱包文件和助记词,并将数据发送给黑客。  

恶意的 Facebook 广告活动已经运行了很长时间,并通过复杂的规避技术(如地理围栏)避免了检测。

加密恶意软件通过社交媒体广告传播

这不是加密货币黑客第一次利用 Facebook 广告窃取加密钱包数据。去年,黑客利用年度 Pi2Day 活动,发起针对加密货币用户的恶意 Facebook 广告活动。 

Pi Network 社区在 6 月 28 日庆祝年度 Pi2Day 活动。在上次活动期间,黑客使用 Pi Network 品牌发布了 140 个虚假广告。受害者被重定向到钓鱼网站,这些网站推广免费 Pi 代币或空投活动,但需要交换受害者的恢复短语。 

钓鱼攻击针对来自不同地区的受害者,包括美国、欧洲、澳大利亚、中国和印度。它通过其他技术吸引受害者,包括在智能手机上轻松挖掘 Pi 代币。 

去年 9 月,网络安全研究人员发现了另一种基于 Meta 广告的攻击,推广免费访问 TradingView Premium。来自 Bitdefender Labs 的研究人员发现,攻击蔓延到了 Google 和 YouTube 广告。

黑客劫持了一个经过验证的 YouTube 账户和一个 Google 广告商账户,并发布虚假广告来重定向受害者并钓鱼他们的信息。滥用经过验证的 YouTube 账户通常会将毫无戒心的受害者引诱到伪装成合法网站的恶意网站。

根据 Bitdefender 的说法,一个标题为"免费 TradingView Premium - 他们不想让你知道的秘密方法"的虚假视频广告在几天内被观看了超过 182,000 次。

视频描述包含指向恶意可执行文件的链接。它采用了一种规避技术,如果攻击者不认为用户是有效目标,就会让用户看到一个无害的页面。该视频未列出,这使得它无法搜索且难以向 Google 举报。

目前没有公开报告专门分离通过虚假广告窃取的加密货币总额。然而,根据 Chainalysis 的数据,2025 年估计有 170 亿美元因加密货币诈骗而损失。

根据网络安全公司 DeepStrike 的数据,信息窃取恶意软件在 2025 年影响了数百万台设备,并窃取了约 18 亿个凭证。报告指出:"任何与网上银行、PayPal、加密货币钱包相关的金钱显然都是网络犯罪分子的目标。"

免费加入高级加密货币交易社区 30 天 - 通常为 100 美元/月。