Los piratas informáticos difunden malware que roba criptomonedas a través de anuncios de Facebook
Los piratas informáticos están apuntando a los usuarios de criptomonedas mediante el lanzamiento de anuncios agresivos de actualización de Windows 11 en Facebook.
Los anuncios falsos roban frases de inicio de sesión de monederos de criptomonedas, datos de inicio de sesión y otra información confidencial. Además, el malware recopila contraseñas guardadas y sesiones de navegador.
Los piratas informáticos promueven actualizaciones falsas de Windows 11 en Facebook
Según un informe , los hackers utilizan la marca profesional de Microsoft para promocionar la actualización falsa de Windows 11. Al hacer clic en el anuncio, la víctima ve un sitio web clonado de Microsoft con un nombre de dominio que imita los dominios legítimos de Microsoft.
Los hackers utilizan geofencing, una técnica dirigida a usuarios habituales que se conectan desde internet en casa o desde la oficina, y que evita las direcciones IP de los centros de datos. Esto se hace para impedir que los escáneres automáticos expongan el ataque.
Una vez que la víctima supera el geofencing, recibe un instalador malicioso alojado en GitHub y descargado desde un dominio seguro con un certificado de seguridad. Esto hace que el ataque parezca una descarga genuina de Microsoft.
El instalador malicioso cuenta con un mecanismo de evasión que escanea máquinas virtuales y herramientas de análisis, y detiene su ejecución para evitar ser detectado. Sin embargo, en el equipo de la víctima, el malware se instala y comienza a infectar el sistema.
El malware instala un framework real en una carpeta llamada LunarApplication. El nombre de la carpeta es similar al de una marca de herramientas de cifrado llamada Lunar. Esto hace que el malware parezca legítimo para los usuarios de criptomonedas, pero en realidad ataca monederos de criptomonedas y frases semilla, y envía los datos a hackers.
Las campañas publicitarias maliciosas de Facebook han estado funcionando durante mucho tiempo y han evitado ser detectadas mediante sofisticadas técnicas de evasión como el geofencing.
El malware criptográfico se propaga a través de anuncios en redes sociales
Esta no es la primera vez que hackers de criptomonedas utilizan anuncios de Facebook para robar datos de monederos electrónicos. El año pasado, aprovecharon el evento anual Pi2Day y lanzaron campañas publicitarias maliciosas en Facebook dirigidas a usuarios de criptomonedas.
El evento anual Pi2Day se celebra el 28 de junio en la comunidad de Pi Network. Durante el último evento, hackers lanzaron 140 anuncios falsos con la marca de Pi Network. Las víctimas fueron redirigidas a sitios web de phishing que promocionaban tokens Pi gratuitos o airdrops, pero a cambio de su frase de recuperación.
El ataque de phishing se dirigió a víctimas de diversas regiones, como EE. UU., Europa, Australia, China e India. Atrajo a las víctimas mediante otras técnicas, como la minería sencilla de tokens Pi en smartphones.
En septiembre del año pasado, investigadores de ciberseguridad descubrieron otro ataque basado en metaanuncios que promocionaba el acceso gratuito a TradingView Premium. Investigadores de Bitdefender Labs descubrieron que el ataque se extendió a los anuncios de Google y YouTube.
Los hackers piratearon una cuenta verificada de YouTube y una cuenta de anunciante de Google, y lanzaron anuncios falsos para redirigir a las víctimas y obtener su información. El abuso de cuentas verificadas de YouTube suele atraer a víctimas desprevenidas a sitios web maliciosos que se hacen pasar por legítimos.
Según Bitdefender, uno de los anuncios de vídeo falsos titulado “TradingView Premium gratis: método secreto que no quieren que conozcas” fue visto más de 182.000 veces en pocos días.
La descripción del video incluye un enlace al ejecutable malicioso. Este utiliza una técnica de evasión que hace que el usuario vea una página inofensiva si los atacantes no lo reconocen como un objetivo válido. El video no figuraba en la lista, lo que dificulta su búsqueda y su denuncia a Google .
No existe ningún informe público que determine la cantidad total de criptomonedas robadas específicamente a través de anuncios falsos. Sin embargo, se estima que en 2025 se perdieron 17 000 millones de dólares debido a estafas de criptomonedas, según datos de Chainalysis.
El malware Infostealer afectó a millones de dispositivos y robó alrededor de 1.800 millones de credenciales dent 2025, según la firma de ciberseguridad DeepStrike. «Cualquier cosa con dinero vinculado a la banca en línea, PayPal o monederos de criptomonedas es obviamente codiciada por los ciberdelincuentes», afirma el informe.
Las mentes más brillantes del mundo de las criptomonedas ya leen nuestro boletín. ¿Te apuntas? ¡ Únete !
Artículos Recomendados
