Les pirates diffusent des malwares voleurs de crypto via des publicités Facebook

Les pirates ciblent les utilisateurs de crypto-monnaies en lançant des publicités agressives de mise à jour Windows 11 sur Facebook. 

Les fausses publicités volent les phrases de récupération des portefeuilles crypto, les identifiants de connexion et d'autres informations sensibles. De plus, le logiciel malveillant collecte les mots de passe enregistrés et les sessions de navigateur.

Les pirates promeuvent de fausses mises à jour Windows 11 sur Facebook

Selon un rapport de Malwarebytes, les pirates utilisent l'image de marque professionnelle de Microsoft pour promouvoir la fausse mise à jour Windows 11. Une fois qu'une victime clique sur la publicité, elle voit un site web Microsoft cloné avec un nom de domaine imitant les domaines Microsoft légitimes.

Les pirates utilisent le géorepérage, une technique qui cible les utilisateurs réguliers qui se connectent depuis Internet à domicile ou au bureau, et évite les adresses IP des centres de données. Cela permet d'empêcher les scanners automatisés d'exposer l'attaque.

Une fois que la victime passe le géorepérage, elle reçoit un installateur malveillant, hébergé sur GitHub et téléchargé depuis un domaine sécurisé avec un certificat de sécurité. Cela donne à l'attaque l'apparence d'un téléchargement Microsoft authentique.

L'installateur malveillant dispose d'un mécanisme d'évasion qui recherche les machines virtuelles et les outils d'analyse et arrête l'exécution pour éviter la détection. Cependant, sur l'ordinateur d'une victime, le logiciel malveillant s'installe et commence à infecter le système.

Le logiciel malveillant installe un framework réel dans un dossier nommé LunarApplication. Le nom du dossier est similaire à une marque d'outils crypto appelée Lunar. Cela donne au logiciel malveillant une apparence légitime pour les utilisateurs de crypto-monnaies, mais en réalité, il cible les fichiers de portefeuilles crypto et les phrases de récupération et envoie les données aux pirates.  

Les campagnes publicitaires malveillantes sur Facebook fonctionnent depuis longtemps et ont évité la détection grâce à des techniques d'évasion sophistiquées telles que le géorepérage.

Les logiciels malveillants crypto se propagent via les publicités sur les réseaux sociaux

Ce n'est pas la première fois que des pirates crypto utilisent les publicités Facebook pour voler des données de portefeuilles crypto. L'année dernière, les pirates ont profité de l'événement annuel Pi2Day et ont lancé des campagnes publicitaires Facebook malveillantes ciblant les utilisateurs de crypto-monnaies. 

L'événement annuel Pi2Day est célébré par la communauté Pi Network le 28 juin. Lors du dernier événement, les pirates ont lancé 140 fausses publicités utilisant l'image de marque de Pi Network. Les victimes ont été redirigées vers des sites web d'hameçonnage qui promouvaient des tokens Pi gratuits ou des événements d'airdrop, mais en échange de la phrase de récupération de la victime. 

L'attaque par hameçonnage a ciblé des victimes de diverses régions, notamment les États-Unis, l'Europe, l'Australie, la Chine et l'Inde. Elle a attiré les victimes grâce à d'autres techniques, notamment le minage facile de tokens Pi sur smartphones. 

En septembre de l'année dernière, des chercheurs en cybersécurité ont découvert une autre attaque basée sur les publicités Meta promouvant l'accès gratuit à TradingView Premium. Les chercheurs de Bitdefender Labs ont constaté que l'attaque s'était étendue aux publicités Google et YouTube.

Les pirates ont détourné un compte YouTube vérifié et un compte annonceur Google et ont lancé de fausses publicités pour rediriger les victimes et hameçonner leurs informations. L'utilisation abusive de comptes YouTube vérifiés attire généralement des victimes peu méfiantes vers des sites web malveillants se faisant passer pour des sites légitimes.

Selon Bitdefender, l'une des fausses publicités vidéo intitulée « Free TradingView Premium – Secret Method They Don't Want You to Know » a été visionnée plus de 182 000 fois en quelques jours.

La description de la vidéo comprend un lien vers l'exécutable malveillant. Elle présente une technique d'évasion qui amène l'utilisateur à voir une page inoffensive si les attaquants ne le reconnaissent pas comme une cible valide. La vidéo n'était pas répertoriée, ce qui la rend introuvable et difficile à signaler à Google.

Il n'existe pas de rapport public isolant le montant total de crypto-monnaies volées spécifiquement par le biais de fausses publicités. Cependant, environ 17 milliards de dollars ont été perdus dans des escroqueries en ligne crypto en 2025 selon les données de Chainalysis.

Les logiciels malveillants de vol d'informations ont affecté des millions d'appareils et ont volé environ 1,8 milliard d'identifiants en 2025, selon l'entreprise de cybersécurité DeepStrike. « Tout ce qui a de l'argent lié aux services bancaires en ligne, PayPal, aux portefeuilles de crypto-monnaies est évidemment prisé par les cybercriminels », indique le rapport.

Rejoignez gratuitement une communauté premium de trading crypto pendant 30 jours - normalement 100 $/mois.