偽Windows 11 Facebook広告を使用した暗号資産窃取を目的としたマルウェアキャンペーンが進行中

2026年2月にPCMagとMalwarebytesの研究者によって明らかにされたこの作戦は、説得力のあるMicrosoftをテーマにした広告を使用して、ユーザーを騙して暗号資産ウォレットを空にするように設計された悪意のあるソフトウェアをインストールさせます。

攻撃者は、まだWindows 11にアップグレードしておらず、Windows 10のサポート終了後にアップグレードオプションを積極的に検索している可能性のあるユーザーに焦点を当てているようです。

詐欺の仕組み

このキャンペーンは、プロフェッショナルなMicrosoftブランディングとメッセージングを特徴とする有料のFacebook広告から始まり、「無料」または「高速」のWindows 11アップグレードを提供します。広告は、公式のMicrosoftダウンロードページを忠実に模倣した偽造ウェブサイトにユーザーをリダイレクトします。一部の偽ドメインは、最新で正当に見せるために「25H2」を参照しています。

被害者は、通常「ms-update32.exe」という名前で、約75 MBのサイズのファイルをダウンロードするよう促されます。インストーラーは、GitHubの複製されたプロジェクトを含む攻撃者が管理するリポジトリでホストされており、さらに正当性があるように見せています。

一部のバリエーションでは、攻撃者は偽のCAPTCHAプロンプトを使用してさらに進めます。ユーザーは、Windows + Rを押し、実行ダイアログにコマンドを貼り付け、悪意のあるPowerShellコードを手動で実行するよう指示されます。このソーシャルエンジニアリングの手法は、従来のダウンロード警告を回避し、感染の可能性を高めます。

「LunarApplication」インフォスティーラーが暗号資産を狙う

インストールされると、マルウェアは「LunarApplication」という名前のフォルダー内に隠されたインフォスティーラーを展開します。この名前は、正当な暗号資産関連ツールに似せるために意図的に選ばれたようで、デジタル資産保有者の疑念を減らします。

マルウェアの主な目的はデータ抽出です。システムをスキャンして以下を探します:

• 暗号資産ウォレットのシードフレーズ
• 取引所のログイン認証情報
• 保存されたブラウザパスワード
• アクティブなセッションクッキー

シードフレーズまたは認証されたセッションにアクセスすることで、攻撃者は被害者が気づく前に、被害者のウォレットから資金を迅速に移動させることができます。

高度な回避技術

研究者によると、このキャンペーンは検知を回避するためにいくつかの洗練された戦術を使用しています。

ジオフェンシングは主要な防御の1つです。悪意のあるウェブサイトがデータセンター、研究者が一般的に使用するVPN、または既知のセキュリティスキャナーのIP範囲からのトラフィックを検知すると、ペイロードを提供する代わりに訪問者をGoogleのホームページにリダイレクトします。

インストーラーは、仮想マシンと分析環境もチェックします。サンドボックスまたは監視されたシステム内で実行されていることを検知すると、実行を拒否します。

永続性のために、マルウェアはHKEY_LOCAL_MACHINE\SYSTEM\Software\Microsoft\TIP\AggregateResultsのパスの下のWindowsレジストリに自身を埋め込み、システムの再起動を乗り越えて機密データの収集を続けることができます。

ユーザーがすべきこと

セキュリティ専門家は、Microsoftがソーシャルメディア広告を通じてオペレーティングシステムのアップグレードを宣伝していないことを強調しています。正規のアップデートは、システム設定の組み込みWindows Update機能を通じてのみ配信されます。

疑わしい広告をクリックしたり、ファイルをダウンロードしたりしたユーザーは、Malwarebytes Free Scannerなどの信頼できるアンチウイルスソフトウェアを使用して、すぐにシステム全体のスキャンを実行する必要があります。

暗号資産保有者にとって、ガイダンスはさらに緊急です。デバイスが侵害されている疑いがある場合、資金は別のクリーンなデバイスで生成された新しいウォレットに移動する必要があります。新しいシードフレーズを作成する必要があります。以前に露出したフレーズは永久に侵害されたと見なす必要があるためです。

暗号資産の採用が増えるにつれて、攻撃者は従来のマルウェア戦術とデジタル資産の盗難をますます組み合わせています。この最新のキャンペーンは、ソーシャルエンジニアリングが洗練されたブランディングと技術的回避と組み合わされることで、単純な「システムアップデート」が金銭的損失への入り口になる可能性があることを浮き彫りにしています。

この記事で提供される情報は教育目的のみであり、金融、投資、または取引アドバイスを構成するものではありません。Coindoo.comは、特定の投資戦略または暗号資産を推奨または支持するものではありません。投資決定を行う前に、必ずご自身で調査を行い、認可された金融アドバイザーにご相談ください。

この記事「偽Windows 11 Facebook広告がアクティブなマルウェアキャンペーンで暗号資産を盗むために使用される」は、Coindooに最初に掲載されました。