قراصنة ينشرون برمجيات خبيثة لسرقة العملات الرقمية عبر إعلانات فيسبوك

يستهدف القراصنة مستخدمي العملات المشفرة من خلال إطلاق إعلانات تحديث Windows 11 العدوانية على Facebook. 

تسرق الإعلانات المزيفة عبارات البذور الخاصة بمحافظ العملات المشفرة وتفاصيل تسجيل الدخول والمعلومات الحساسة الأخرى. علاوة على ذلك، تحصد البرامج الضارة كلمات المرور المحفوظة وجلسات المتصفح.

يروج القراصنة لتحديثات Windows 11 المزيفة على Facebook

وفقاً لتقرير Malwarebytes، يستخدم القراصنة علامة Microsoft التجارية الاحترافية للترويج لتحديث Windows 11 المزيف. بمجرد أن ينقر الضحية على الإعلان، يرى موقع Microsoft مستنسخاً باسم نطاق يحاكي نطاقات Microsoft الشرعية.

يستخدم القراصنة السياج الجغرافي، وهو أسلوب يستهدف المستخدمين العاديين الذين يتصلون من الإنترنت المنزلي أو المكاتب، ويتجنب عناوين IP من مراكز البيانات. يتم ذلك لإيقاف الماسحات الضوئية التلقائية من كشف الهجوم.

بمجرد أن يتجاوز الضحية السياج الجغرافي، يتلقى برنامج تثبيت ضار، مستضاف على GitHub ويتم تنزيله من نطاق آمن بشهادة أمان. هذا يجعل الهجوم يبدو وكأنه تنزيل حقيقي من Microsoft.

يحتوي برنامج التثبيت الضار على آلية تهرب تفحص الأجهزة الافتراضية وأدوات التحليل وتوقف التنفيذ لتجنب الاكتشاف. ومع ذلك، على جهاز كمبيوتر الضحية، يتم تثبيت البرامج الضارة وتبدأ في إصابة النظام.

تقوم البرامج الضارة بتثبيت إطار عمل حقيقي في مجلد يسمى LunarApplication. اسم المجلد مشابه لعلامة تجارية لأدوات العملات المشفرة تسمى Lunar. هذا يجعل البرامج الضارة تبدو شرعية لمستخدمي العملات المشفرة، ولكن في الواقع، تستهدف ملفات محفظة العملات المشفرة وعبارات البذور وترسل البيانات إلى القراصنة.  

تعمل حملات الإعلانات الضارة على Facebook منذ فترة طويلة وتجنبت الكشف من خلال تقنيات تهرب متطورة مثل السياج الجغرافي.

تنتشر البرامج الضارة للعملات المشفرة من خلال إعلانات وسائل التواصل الاجتماعي

هذه ليست المرة الأولى التي يستخدم فيها قراصنة العملات المشفرة إعلانات Facebook لسرقة بيانات محفظة العملات المشفرة. في العام الماضي، استغل القراصنة حدث Pi2Day السنوي وأطلقوا حملات إعلانية ضارة على Facebook تستهدف مستخدمي العملات المشفرة. 

يحتفل مجتمع Pi Network بحدث Pi2Day السنوي في 28 يونيو. خلال الحدث الأخير، أطلق القراصنة 140 إعلاناً مزيفاً باستخدام علامة Pi Network التجارية. تم إعادة توجيه الضحايا إلى مواقع الاحتيال الإلكتروني التي روجت لرموز Pi المجانية أو أحداث airdrop، ولكن في مقابل عبارة استرداد الضحية. 

استهدف هجوم الاحتيال الإلكتروني ضحايا من مناطق مختلفة، بما في ذلك الولايات المتحدة وأوروبا وأستراليا والصين والهند. استدرج الضحايا من خلال تقنيات أخرى، بما في ذلك تعدين رموز Pi السهل على الهواتف الذكية. 

في سبتمبر من العام الماضي، اكتشف باحثو الأمن السيبراني هجوماً آخر قائماً على إعلانات Meta يروج للوصول المجاني إلى TradingView Premium. وجد باحثون من Bitdefender Labs أن الهجوم انتشر إلى إعلانات Google وYouTube.

اختطف القراصنة حساب YouTube موثقاً وحساب معلن على Google وأطلقوا إعلانات مزيفة لإعادة توجيه الضحايا والتصيد على معلوماتهم. عادةً ما يؤدي إساءة استخدام حسابات YouTube الموثقة إلى استدراج ضحايا غير مشتبهين إلى مواقع ضارة تتنكر على أنها شرعية.

وفقاً لـ Bitdefender، تمت مشاهدة أحد إعلانات الفيديو المزيفة بعنوان "Free TradingView Premium – Secret Method They Don't Want You to Know" أكثر من 182,000 مرة في غضون أيام قليلة.

يتضمن وصف الفيديو رابطاً للملف التنفيذي الضار. يتميز بتقنية تهرب تتسبب في رؤية المستخدم لصفحة غير ضارة إذا لم يتعرف المهاجمون عليهم كهدف صالح. تم إلغاء إدراج الفيديو، مما يجعله غير قابل للبحث وصعب الإبلاغ عنه إلى Google.

لا يوجد تقرير عام يعزل المبلغ الإجمالي للعملات المشفرة المسروقة على وجه التحديد من خلال الإعلانات المزيفة. ومع ذلك، تشير التقديرات إلى خسارة 17 مليار دولار في عمليات الاحتيال عبر الإنترنت المتعلقة بالعملات المشفرة في عام 2025 بناءً على بيانات Chainalysis.

أثرت البرامج الضارة لسرقة المعلومات على ملايين الأجهزة وسرقت حوالي 1.8 مليار بيانات اعتماد في عام 2025، وفقاً لشركة الأمن السيبراني DeepStrike. "أي شيء مرتبط بالمال مثل الخدمات المصرفية عبر الإنترنت وPayPal ومحافظ العملات المشفرة يعتبر بوضوح جائزة لمجرمي الإنترنت"، كما جاء في التقرير.

انضم إلى مجتمع تداول عملات مشفرة متميز مجاناً لمدة 30 يوماً - عادةً 100 دولار/شهر.