Gli hacker diffondono malware per rubare criptovalute tramite annunci Facebook

Gli hacker stanno prendendo di mira gli utenti crypto lanciando annunci aggressivi di aggiornamento di Windows 11 su Facebook. 

Gli annunci falsi rubano le seed phrase dei wallet crypto, i dettagli di accesso e altre informazioni sensibili. Inoltre, il malware raccoglie password salvate e sessioni del browser.

Gli hacker promuovono falsi aggiornamenti di Windows 11 su Facebook

Secondo un rapporto di Malwarebytes, gli hacker utilizzano il branding professionale di Microsoft per promuovere il falso aggiornamento di Windows 11. Una volta che una vittima clicca sull'annuncio, vede un sito web Microsoft clonato con un nome di dominio che imita i domini Microsoft legittimi.

Gli hacker utilizzano il geofencing, che è una tecnica che prende di mira gli utenti normali che si connettono da internet domestico o uffici, ed evita gli indirizzi IP dei data center. Questo viene fatto per impedire agli scanner automatizzati di esporre l'attacco.

Una volta che la vittima supera il geofencing, riceve un installer malevolo, che è ospitato su GitHub e scaricato da un dominio sicuro con un certificato di sicurezza. Questo fa sembrare l'attacco come un download Microsoft genuino.

L'installer malevolo ha un meccanismo di evasione che scansiona macchine virtuali e strumenti di analisi e interrompe l'esecuzione per evitare il rilevamento. Tuttavia, sul computer di una vittima, il malware si installa e inizia a infettare il sistema.

Il malware installa un framework reale in una cartella denominata LunarApplication. Il nome della cartella è simile a un marchio di strumenti crypto chiamato Lunar. Questo fa sembrare il malware legittimo agli utenti crypto, ma in realtà prende di mira i file dei wallet crypto e le seed phrase e invia i dati agli hacker.  

Le campagne pubblicitarie malevole su Facebook sono in corso da molto tempo e hanno evitato il rilevamento attraverso sofisticate tecniche di evasione come il geofencing.

Il malware crypto si diffonde attraverso gli annunci sui social media

Questa non è la prima volta che gli hacker crypto hanno utilizzato gli annunci di Facebook per rubare dati dei wallet crypto. L'anno scorso, gli hacker hanno approfittato dell'evento annuale Pi2Day e hanno lanciato campagne pubblicitarie malevole su Facebook prendendo di mira gli utenti crypto. 

L'evento annuale Pi2Day è celebrato dalla comunità Pi Network il 28 giugno. Durante l'ultimo evento, gli hacker hanno lanciato 140 annunci falsi utilizzando il branding di Pi Network. Le vittime sono state reindirizzate a siti web di phishing che promuovevano token Pi gratuiti o eventi airdrop, ma in cambio della recovery phrase della vittima. 

L'attacco di phishing ha preso di mira vittime da varie regioni, inclusi Stati Uniti, Europa, Australia, Cina e India. Ha attirato le vittime attraverso altre tecniche, incluso il mining facile di token Pi su smartphone. 

A settembre dello scorso anno, i ricercatori di cybersecurity hanno scoperto un altro attacco basato su annunci Meta che promuoveva l'accesso gratuito a TradingView Premium. I ricercatori di Bitdefender Labs hanno scoperto che l'attacco si è diffuso agli annunci di Google e YouTube.

Gli hacker hanno dirottato un account YouTube verificato e un account inserzionista Google e hanno lanciato annunci falsi per reindirizzare le vittime e effettuare il phishing delle loro informazioni. L'abuso di account YouTube verificati di solito attira vittime ignare verso siti web malevoli mascherati da legittimi.

Secondo Bitdefender, uno degli annunci video falsi intitolato "Free TradingView Premium – Secret Method They Don't Want You to Know" è stato visualizzato più di 182.000 volte in pochi giorni.

La descrizione del video include un link all'eseguibile malevolo. Presenta una tecnica di evasione che fa sì che l'utente veda una pagina innocua se gli aggressori non li riconoscono come un target valido. Il video era non elencato, il che lo rende non ricercabile e difficile da segnalare a Google.

Non esiste un rapporto pubblico che isola l'importo totale di criptovaluta rubata specificamente attraverso annunci falsi. Tuttavia, si stima che 17 miliardi di dollari siano stati persi a causa di truffe crypto nel 2025 secondo i dati di Chainalysis.

Il malware infostealer ha colpito milioni di dispositivi e ha rubato circa 1,8 miliardi di credenziali nel 2025, secondo l'azienda di cybersecurity DeepStrike. "Qualsiasi cosa con denaro collegato a online banking, PayPal, wallet di criptovaluta è ovviamente apprezzata dai cybercriminali", ha affermato il rapporto.

Unisciti a una comunità di trading crypto premium gratuitamente per 30 giorni - normalmente $100/mese.