Los anuncios falsos roban frases semilla de monederos de criptomonedas, datos de inicio de sesión y otra información sensible. Además, el malware recolecta contraseñas guardadas y sesiones de navegador.
Hackers promocionan actualizaciones falsas de Windows 11 en Facebook
Según un informe de Malwarebytes, los hackers utilizan la imagen profesional de Microsoft para promocionar la actualización falsa de Windows 11. Una vez que la víctima hace clic en el anuncio, ve un sitio web clonado de Microsoft con un nombre de dominio que imita a los dominios legítimos de Microsoft.
Los hackers emplean geofencing, una técnica que apunta a usuarios regulares que se conectan desde internet doméstico u oficinas, evitando las direcciones IP de centros de datos. Esto se hace para evitar que los escáneres automáticos expongan el ataque.
Una vez que la víctima supera el geofencing, recibe un instalador malicioso, alojado en GitHub y descargado desde un dominio seguro con un certificado de seguridad. Esto hace que el ataque parezca una descarga genuina de Microsoft.
El instalador malicioso tiene un mecanismo de evasión que escanea máquinas virtuales y herramientas de análisis, y detiene la ejecución para evitar la detección. Sin embargo, en el ordenador de la víctima, el malware se instala y comienza a infectar el sistema.
El malware instala un framework real en una carpeta llamada LunarApplication. El nombre de la carpeta es similar a una marca de herramientas cripto llamada Lunar. Esto hace que el malware parezca legítimo para los usuarios de criptomonedas, pero en realidad apunta a archivos de monederos y frases semilla, y envía los datos a los hackers.
Las campañas maliciosas de anuncios en Facebook han estado activas durante mucho tiempo y han evitado la detección mediante sofisticadas técnicas de evasión como el geofencing.
El malware de criptomonedas se propaga a través de anuncios en redes sociales
No es la primera vez que hackers de criptomonedas utilizan anuncios en Facebook para robar datos de monederos. El año pasado, los hackers aprovecharon el evento anual Pi2Day y lanzaron campañas maliciosas de anuncios en Facebook dirigidas a usuarios de criptomonedas.
El evento anual Pi2Day es celebrado por la comunidad de Pi Network el 28 de junio. Durante el último evento, los hackers lanzaron 140 anuncios falsos usando la imagen de Pi Network. Las víctimas eran redirigidas a sitios de phishing que promocionaban tokens Pi gratis o eventos de airdrop, pero a cambio de la frase de recuperación de la víctima.
El ataque de phishing apuntó a víctimas de varias regiones, incluyendo Estados Unidos, Europa, Australia, China e India. Engañaba a las víctimas mediante otras técnicas, como la minería fácil de tokens Pi en smartphones.
En septiembre del año pasado, investigadores de ciberseguridad descubrieron otro ataque basado en anuncios de Meta que promocionaba acceso gratuito a TradingView Premium. Investigadores de Bitdefender Labs encontraron que el ataque se extendió a anuncios en Google y YouTube.
Los hackers secuestraron una cuenta verificada de YouTube y una cuenta de anunciante de Google, y lanzaron anuncios falsos para redirigir a las víctimas y robar su información. El abuso de cuentas verificadas de YouTube normalmente atrae a víctimas desprevenidas a sitios web maliciosos que se hacen pasar por legítimos.
Según Bitdefender, uno de los anuncios de video falsos titulado “Free TradingView Premium – Secret Method They Don’t Want You to Know” fue visto más de 182,000 veces en pocos días.
La descripción del video incluye un enlace al ejecutable malicioso. Presenta una técnica de evasión que hace que el usuario vea una página inofensiva si los atacantes no lo reconocen como objetivo válido. El video estaba no listado, lo que lo hace inencontrable y difícil de reportar a Google.
No existe un informe público que aísle la cantidad total de criptomonedas robadas específicamente a través de anuncios falsos. Sin embargo, se estima que se perdieron $17 mil millones debido a estafas cripto en 2025, según datos de Chainalysis.
El malware infostealer afectó a millones de dispositivos y robó alrededor de 1.8 mil millones de credenciales en 2025, según la firma de ciberseguridad DeepStrike. “Cualquier cosa relacionada con dinero, como banca en línea, PayPal, monederos de criptomonedas, es obviamente un premio para los ciberdelincuentes”, indicó el informe.
