Usuarios de Facebook caen en la trampa de descargar malware a través de falsos sitios de criptomonedas y promociones respaldadas por celebridades.

Un nuevo y alarmante tipo de ataques de malware se ha dirigido a propietarios de Bitcoin y criptomonedas a través de anuncios en Facebook que suplantan a marcas reconocidas en el sector. Según investigaciones, se ha identificado una compleja campaña de malvertising que se aprovecha de la reputación de plataformas bien conocidas como Binance, TradingView y ByBit.

Este tipo de anuncios maliciosos no solo engañan a los usuarios, sino que también se adaptan en tiempo real para evitar ser detectados, entregando el malware solo cuando se dan condiciones favorables para los atacantes. El proceso comienza cuando los delincuentes cibernéticos obtienen acceso a cuentas de Facebook, ya sea mediante el secuestro de cuentas existentes o creando nuevas. Usan la red publicitaria de Meta para lanzar promociones fraudulentas que presentan ofertas engañosas, incorporando imágenes de celebridades como Zendaya, Elon Musk y Cristiano Ronaldo para aumentar su credibilidad.

Al hacer clic en estos anuncios, los usuarios son redirigidos a sitios web que imitan servicios legítimos de criptomonedas y se les solicita descargar lo que parece ser un cliente de escritorio. El sistema de entrega del malware está diseñado para ser altamente evasivo; se ejecuta un servidor local silenciosamente al instalarse, lo que permite a los atacantes enviar cargas útiles directamente al sistema de la víctima mientras eluden la mayoría del software de seguridad.

La entrega del malware solo ocurre si las víctimas cumplen con ciertos criterios, como estar conectadas a Facebook, utilizar navegadores preferidos como Microsoft Edge, o coincidir con un perfil demográfico específico. Algunos de los ejemplos de malware ejecutan servidores .NET ligeros localmente y se comunican con el sitio web utilizando scripts avanzados que ejecutan comandos de PowerShell codificados, capaces de extraer información sensible como software instalado o detalles de la GPU. Dependiendo de los hallazgos, el malware puede descargar cargas adicionales o simplemente permanecer inactivo si sospecha que está siendo analizado en un entorno controlado.

Investigadores han encontrado cientos de cuentas en Facebook promoviendo estas campañas, con una de ellas realizando más de 100 anuncios en un solo día. Muchos de estos anuncios están dirigidos a hombres mayores de 18 años, y se han encontrado ejemplos en Bulgaria y Eslovaquia.

Para protegerse, se recomienda a los usuarios que examinen los anuncios detenidamente, mantengan su software de seguridad actualizado y descarguen solo desde fuentes oficiales. Asimismo, es aconsejable utilizar herramientas de verificación de enlaces y reportar cualquier contenido sospechoso en Facebook para ayudar a otros a evitar caer en estas trampas.