Facebook divulga malware por meio de anúncios falsos de crypto exchange

São Paulo — InkDesign News — Uma campanha persistente de malwares tem explorado a rede de anúncios do Facebook para atingir entusiastas de criptomoedas, utilizando sites falsos de exchanges e imagens de celebridades para enganar usuários e distribuir softwares maliciosos, conforme revelou hoje a empresa de segurança Bitdefender.

Incidente e vulnerabilidade

Pesquisadores da Bitdefender identificaram uma operação complexa que dissemina malwares por meio de anúncios fraudulentos no Facebook, usando as marcas de grandes exchanges de criptomoedas como Binance e TradingView, além de figuras públicas como Elon Musk e Zendaya como atrativos visuais. Esses anúncios direcionam usuários para sites falsos que simulam plataformas legítimas, induzindo à instalação de um “cliente desktop” malicioso.

Ao ser instalado, esse cliente deixa um arquivo DLL malicioso que inicializa um servidor local baseado em .NET na máquina da vítima, funcionando como centro de controle (C2) oculto. A interface do site inclui scripts de deobfuscação que enviam consultas WMI (Windows Management Instrumentation) ao servidor local e o instruem a executar payloads adicionais. A etapa final dessa cadeia envolve scripts codificados do PowerShell que baixam malware adicional de servidores remotos.

Nesse processo, há mecanismos avançados de verificação anti-sandbox para garantir que o malware seja entregue apenas a usuários com perfis demográficos e comportamentais específicos, maximizando o impacto do ataque e reduzindo a exposição a análises de segurança.

“Usuários sem parâmetros específicos de rastreamento de anúncios no Facebook, que não estejam logados na plataforma, ou com endereços IP e sistemas operacionais considerados irrelevantes recebem conteúdos inofensivos.”
(“Users without specific Facebook ad tracking parameters, those not logged into Facebook, or those with uninteresting IP addresses or operating systems are also shown harmless content instead.”)

— Ionut Baltariu, Pesquisador, Bitdefender

Impacto e resposta

A escala da campanha é preocupante, com centenas de contas no Facebook promovendo páginas maliciosas, e em um único caso, uma página veiculou mais de 100 anúncios em 24 horas. Apesar da remoção frequente dessas propagandas fraudulentas pela plataforma, muitas delas acumulam milhares de visualizações antes de serem derrubadas.

Os atacantes ainda aumentam o engano criando páginas falsas no Facebook que imitam perfeitamente as oficiais de exchanges, incluindo posts e comentários sobre supostos brindes, cujo objetivo é redirecionar para os sites maliciosos. Essa prática reforça o vetor de ataque da plataforma, que tem sido repetidamente explorada para disseminar malware, como evidenciado por campanhas recentes envolvendo ferramentas falsas de IA que distribuem roubo de dados.

“A função do Facebook como vetor para a distribuição de malwares não é um fenômeno isolado, revelando vulnerabilidades sistemáticas na segurança da plataforma.”
(“Facebook’s continued role as a vector for malware distribution is hard to overlook.”)

— Equipe de Pesquisa, Bitdefender

Mitigações recomendadas

Para proteção, a Bitdefender aconselha que usuários adotem ceticismo em relação a anúncios online, utilizando ferramentas anti-fraude para verificar links e mantendo seus softwares de segurança sempre atualizados. Além disso, é fundamental reportar anúncios suspeitos no Facebook para que possam ser removidos mais rapidamente, ajudando a reduzir a disseminação de ameaças.

No ambiente corporativo, recomenda-se reforçar a análise comportamental de cliques em anúncios e implementar filtros específicos para validar a autenticidade das fontes de tráfego direcionado, evitando a comunicação inadvertida com servidores maliciosos ímpares.

Essa campanha expõe riscos latentes para usuários e plataformas de publicidade digital, evidenciando a necessidade constante de aprimoramento das defesas contra ataques sofisticados que combinam engenharia social e técnicas avançadas de ocultação. O monitoramento ativo e a educação contínua dos usuários são passos essenciais diante desse panorama dinâmico.

Fonte: (Hack Read – Segurança Cibernética)