Hackers espalham malware de roubo de cripto através de anúncios do Facebook

Os hackers estão a visar utilizadores de criptomoedas através do lançamento de anúncios agressivos de atualização do Windows 11 no Facebook. 

Os anúncios falsos roubam frases-semente de carteiras cripto, detalhes de login e outras informações sensíveis. Além disso, o malware recolhe palavras-passe guardadas e sessões de navegador.

Hackers promovem atualizações falsas do Windows 11 no Facebook

De acordo com um relatório da Malwarebytes, os hackers utilizam a imagem profissional da Microsoft para promover a falsa atualização do Windows 11. Uma vez que a vítima clica no anúncio, vê um website clonado da Microsoft com um nome de domínio que imita domínios legítimos da Microsoft.

Os hackers utilizam geofencing, que é uma técnica que visa utilizadores regulares que se conectam a partir da internet doméstica ou escritórios, e evita endereços IP de centros de dados. Isto é feito para impedir que scanners automáticos exponham o ataque.

Uma vez que a vítima passa o geofencing, recebe um instalador malicioso, que está alojado no GitHub e descarregado de um domínio seguro com um certificado de segurança. Isto faz com que o ataque pareça um download genuíno da Microsoft.

O instalador malicioso tem um mecanismo de evasão que procura máquinas virtuais e ferramentas de análise e interrompe a execução para evitar deteção. No entanto, no computador de uma vítima, o malware instala-se e começa a infetar o sistema.

O malware instala uma estrutura real numa pasta chamada LunarApplication. O nome da pasta é semelhante a uma marca de ferramentas cripto chamada Lunar. Isto faz com que o malware pareça legítimo para utilizadores de cripto, mas na realidade, visa ficheiros de carteiras cripto e frases-semente e envia os dados para os hackers.  

As campanhas de anúncios maliciosos no Facebook têm estado a decorrer há muito tempo e evitaram deteção através de técnicas sofisticadas de evasão como o geofencing.

Malware cripto propaga-se através de anúncios nas redes sociais

Esta não é a primeira vez que hackers de cripto utilizaram anúncios no Facebook para roubar dados de carteiras cripto. No ano passado, os hackers aproveitaram-se do evento anual Pi2Day e lançaram campanhas de anúncios maliciosos no Facebook visando utilizadores de cripto. 

O evento anual Pi2Day é celebrado pela comunidade Pi Network a 28 de junho. Durante o último evento, os hackers lançaram 140 anúncios falsos usando a marca Pi Network. As vítimas foram redirecionadas para websites de phishing que promoviam tokens Pi gratuitos ou eventos de airdrop, mas em troca da frase de recuperação da vítima. 

O ataque de phishing visou vítimas de várias regiões, incluindo os EUA, Europa, Austrália, China e Índia. Atraiu vítimas através de outras técnicas, incluindo mineração fácil de tokens Pi em smartphones. 

Em setembro do ano passado, investigadores de cibersegurança descobriram outro ataque baseado em anúncios Meta promovendo acesso gratuito ao TradingView Premium. Investigadores dos Bitdefender Labs descobriram que o ataque se propagou para anúncios do Google e YouTube.

Os hackers sequestraram uma conta verificada do YouTube e uma conta de anunciante do Google e lançaram anúncios falsos para redirecionar vítimas e fazer phishing das suas informações. Abusar de contas verificadas do YouTube geralmente atrai vítimas desprevenidas para websites maliciosos disfarçados de legítimos.

De acordo com a Bitdefender, um dos anúncios de vídeo falsos intitulado "TradingView Premium Gratuito – Método Secreto Que Não Querem Que Saibas" foi visualizado mais de 182.000 vezes em poucos dias.

A descrição do vídeo inclui um link para o executável malicioso. Apresenta uma técnica de evasão que faz com que o utilizador veja uma página inofensiva se os atacantes não os reconhecerem como um alvo válido. O vídeo não estava listado, o que o torna não pesquisável e difícil de denunciar ao Google.

Não existe um relatório público que isole o valor total de criptomoeda roubada especificamente através de anúncios falsos. No entanto, estima-se que 17 mil milhões de dólares foram perdidos em golpes cripto em 2025 com base em dados da Chainalysis.

O malware Infostealer afetou milhões de dispositivos e roubou cerca de 1,8 mil milhões de credenciais em 2025, de acordo com a empresa de cibersegurança DeepStrike. "Qualquer coisa com dinheiro ligado a banca online, PayPal, carteiras de criptomoeda é obviamente valorizada por cibercriminosos", afirmou o relatório.

Junte-se a uma comunidade premium de trading cripto gratuitamente durante 30 dias - normalmente $100/mês.