假 Windows 11 Facebook 广告被用于在活跃恶意软件活动中窃取加密货币

该行动于2026年2月被PCMag和Malwarebytes的研究人员发现,使用令人信服的微软主题广告诱骗用户安装旨在清空加密钱包的恶意软件。

攻击者似乎将重点放在尚未升级到Windows 11的用户身上,这些用户可能在Windows 10支持结束时间表后正在积极寻找升级选项。

骗局的运作方式

该活动始于付费Facebook广告,展示专业的微软品牌和提供"免费"或"快速"Windows 11升级的信息。这些广告将用户重定向到紧密模仿官方微软下载页面的假冒网站。一些假域名甚至引用"25H2"以显得当前和合法。

受害者被提示下载一个文件,通常名为"ms-update32.exe",大小通常约为75 MB。该安装程序托管在攻击者控制的存储库上,包括GitHub上的克隆项目,为其提供了额外的可信度。

在某些变体中,攻击者更进一步使用假冒的验证码提示。用户被指示按Windows + R,将命令粘贴到运行对话框中,并手动执行恶意PowerShell代码。这种社会工程技巧绕过了传统的下载警告,并增加了感染的可能性。

"LunarApplication"信息窃取器针对加密资产

安装后,恶意软件会部署一个隐藏在名为"LunarApplication"文件夹内的信息窃取器。该名称似乎是故意选择的,以类似合法的加密相关工具,减少数字资产持有者的怀疑。

该恶意软件的主要目标是数据提取。它会扫描系统以查找:

• 加密货币钱包助记词
• 交易所登录凭证
• 已保存的浏览器密码
• 活动会话Cookie

通过访问助记词或已验证的会话,攻击者可以在受害者意识到发生了什么之前快速将资金从其钱包中转移出去。

高级规避技术

研究人员表示,该活动使用了几种复杂的策略来避免检测。

地理围栏是关键防御之一。如果恶意网站检测到来自数据中心、研究人员常用的VPN或已知安全扫描器IP范围的流量,它会将访问者重定向到Google主页,而不是提供有效载荷。

安装程序还会检查虚拟机和分析环境。如果检测到它在沙箱或监控系统内运行,它将拒绝执行。

为了持久性,恶意软件将自己嵌入到Windows注册表路径HKEY_LOCAL_MACHINE\SYSTEM\Software\Microsoft\TIP\AggregateResults下,使其能够在系统重启后继续存在并继续收集敏感数据。

用户应该做什么

安全专家强调,微软不会通过社交媒体广告推广操作系统升级。合法更新仅通过系统设置中的内置Windows Update功能提供。

点击了可疑广告或下载了文件的用户应立即使用信誉良好的杀毒软件(如Malwarebytes免费扫描器)运行完整的系统扫描。

对于加密货币持有者,指导更为紧迫。如果怀疑设备已被入侵,应将资金转移到在单独的干净设备上生成的新钱包中。必须创建新的助记词,因为任何先前暴露的助记词都应被视为永久被入侵。

随着加密货币采用的增长,攻击者越来越多地将传统恶意软件策略与数字资产盗窃相结合。这次最新的活动突显了社会工程如何与精美的品牌和技术规避相结合,可以将简单的"系统更新"变成经济损失的入口。

本文提供的信息仅供教育目的,不构成财务、投资或交易建议。Coindoo.com不认可或推荐任何特定的投资策略或加密货币。在做出任何投资决定之前,请务必进行自己的研究并咨询持牌财务顾问。

帖子《在活跃的恶意软件活动中使用假冒Windows 11 Facebook广告窃取加密货币》首次出现在Coindoo上。