虚假加密货币交易所广告入侵Facebook

网络安全公司Bitdefender近日揭露，黑客正利用脸书（Facebook）广告网络，通过伪造知名加密货币交易平台（如币安、TradingView）及名人形象（如埃隆·马斯克、赞达亚）的虚假广告，诱骗用户下载恶意软件。

1. 虚假广告引流

• 黑客盗取或创建脸书账号投放广告，以“高额收益”“限时赠币”为诱饵。
• 点击后跳转至高度仿真的虚假交易所网站，诱导下载“桌面客户端”。

2. 恶意负载投递

• 下载的客户端会释放恶意DLL文件，在受害电脑上植入基于.NET的本地服务器，作为隐蔽命令控制（C2）节点。
• 网站前端脚本通过WMI指令与服务器通信，进一步下载恶意载荷。

3. 规避检测机制

• 攻击者采用高级反沙箱检测技术，仅向符合特定地理位置、设备类型的用户推送真实恶意内容，其余用户则显示无害页面以规避审查。
• 最终阶段通过编码的PowerShell脚本从远程服务器加载更多恶意软件。

• 研究人员发现数百个脸书账号参与推广，其中一个页面24小时内投放超100条广告。
• 部分广告精准定位（如保加利亚、斯洛伐克18岁以上男性），在被下架前已获得数千次曝光。
• 黑客甚至克隆TradingView等平台的官方主页，伪造用户评论和赠品活动链接，直接导向恶意网站。

此次并非孤例。早前Morphisec报告显示，黑客曾通过脸书假借“AI工具”广告传播新型Noodlophile信息窃取软件，凸显平台广告审核漏洞。

Bitdefender呼吁用户：

• 对线上广告保持警惕，尤其是涉及加密货币或名人背书的内容；
• 使用链接检测工具，及时更新安全软件；
• 主动向脸书举报可疑广告。

目前，该恶意活动仍在持续。