Por Angel Di Matteo 𝕏 @shadowargelUna nueva campaña de anuncios maliciosos en Facebook estaría explotando la apariencia de una “actualización de Windows 11” para atraer a usuarios y desplegar malware que busca frases semilla, archivos de carteras y credenciales. Investigadores describen un esquema con geofencing, sitios clonados y descargas alojadas en GitHub que intenta evadir a los escáneres y a los entornos de análisis.
***
- Los atacantes promocionan una supuesta actualización de Windows 11 en Facebook y redirigen a un sitio clonado que imita dominios de Microsoft.
- El instalador malicioso usa geofencing y evasión, y termina buscando frases semilla, archivos de wallets, contraseñas guardadas y sesiones del navegador.
- El patrón se repite en campañas anteriores vinculadas a Pi2Day y a supuestos accesos gratis a TradingView Premium, mientras el impacto de infostealers escala en 2025.
Los usuarios cripto vuelven a estar en la mira de campañas publicitarias maliciosas en redes sociales. Esta vez, el gancho es una supuesta “actualización de Windows 11” que aparece como anuncio en Facebook y que, según investigadores, termina instalando malware orientado a robar información sensible vinculada a carteras cripto y cuentas digitales.
El riesgo no se limita a un simple phishing. El esquema descrito combina ingeniería social, infraestructura que imita marcas reconocidas y técnicas de evasión que dificultan que los sistemas automáticos de análisis detecten la amenaza a tiempo. Para quienes interactúan a diario con exchanges, extensiones de wallets y servicios financieros, el resultado puede ser el vaciado de fondos si la frase semilla cae en manos equivocadas, expone Cryptopolitan.
Anuncios de “Windows 11” como señuelo para robar datos cripto
De acuerdo con un reporte de Malwarebytes, los atacantes están usando la marca profesional de Microsoft para promover una falsa actualización de Windows 11 mediante anuncios en Facebook. Tras hacer clic, la víctima llega a un sitio web clonado, alojado en un dominio que imita los legítimos de la compañía.
La campaña no intenta parecer sospechosa a simple vista. El uso de una marca ampliamente reconocida reduce la desconfianza, porque muchos usuarios asumen que una actualización del sistema operativo es rutinaria y necesaria. Ese contexto es relevante: en ciberseguridad, las acciones “normales” del día a día suelen ser el mejor camuflaje para un ataque.
Una de las piezas clave es el geofencing. Los atacantes, según la descripción del informe, filtran a quién le muestran el contenido malicioso. Apuntan a usuarios “regulares” conectados desde internet doméstico u oficinas, y evitan direcciones IP de centros de datos, una forma de eludir a los escáneres automatizados que suelen analizar enlaces desde infraestructura de nube.
Superado ese filtro, la víctima recibe un instalador malicioso. Ese archivo estaría alojado en GitHub y se descarga desde un dominio seguro con certificado de seguridad, lo que contribuye a la ilusión de legitimidad. En la práctica, muchos usuarios asocian el candado del navegador con “seguro”, aunque el candado solo indica cifrado en tránsito y no que el archivo sea benigno.
Evasión, “LunarApplication” y el foco en frases semilla
El instalador, según el reporte, incorpora mecanismos de evasión. El malware escanea si corre en máquinas virtuales o si detecta herramientas de análisis. Si identifica ese entorno, detiene la ejecución para evitar ser estudiado y, por extensión, bloqueado o reportado con rapidez.
En el equipo de la víctima, el comportamiento cambia. El malware se instala y comienza a infectar el sistema. Parte de la estrategia es crear una carpeta llamada LunarApplication, dentro de la cual instala un “marco real”, descrito como un componente que ayuda a ejecutar la operación maliciosa sin levantar sospechas inmediatas.
El nombre no sería casual. LunarApplication se parece a una marca de herramientas cripto llamada Lunar. La semejanza busca que el usuario, si llega a ver esa carpeta o proceso, lo asuma como parte de algo relacionado con su ecosistema cripto, y no como un artefacto extraño que amerite revisión.
El objetivo final es directo: el malware apunta a archivos de carteras de criptomonedas y a frases semilla, además de detalles de inicio de sesión y otra información sensible. También recopila contraseñas guardadas y sesiones de navegador. En términos de impacto, robar sesiones puede permitir accesos inmediatos a servicios sin necesidad de la contraseña, mientras que una frase semilla entrega control total de una wallet no custodiada.
Un patrón repetido: Pi2Day, TradingView Premium y anuncios sospechosos
La técnica de usar anuncios en Facebook para robar datos cripto no es nueva. El reporte recuerda que el año pasado, durante Pi2Day, atacantes lanzaron campañas maliciosas de anuncios en Facebook dirigidas a usuarios de criptomonedas. Pi2Day es celebrado por la comunidad de Pi Network el 28 de junio.
En ese episodio, los hackers publicaron 140 anuncios falsos usando la marca Pi Network. Las víctimas eran redirigidas a sitios de phishing que promocionaban tokens Pi “gratis” o supuestos eventos de airdrop. El intercambio implícito era peligroso: se solicitaba la frase de recuperación de la víctima.
La campaña de Pi2Day habría afectado a múltiples regiones. El ataque apuntó a víctimas en EE. UU., Europa, Australia, China e India. También se apoyó en otros ganchos, incluido el discurso de “minado fácil” de tokens Pi en smartphones, un mensaje que suele atraer a usuarios nuevos y menos entrenados en buenas prácticas de seguridad.
Otro caso citado ocurrió en septiembre del año pasado. Investigadores de Bitdefender Labs detectaron un ataque basado en anuncios de Meta que promovía acceso gratuito a TradingView Premium. El alcance fue más allá, porque el ataque también se extendió a anuncios en Google y a contenido en YouTube.
Según esa investigación, los atacantes secuestraron una cuenta verificada y una cuenta de anunciante de Google para impulsar anuncios falsos que redirigían a las víctimas con el fin de obtener su información. Bitdefender indicó que un anuncio en video titulado “Free TradingView Premium – Secret Method They Don’t Want You to Know” superó las 182.000 visualizaciones en pocos días.
La descripción del video incluía un enlace a un ejecutable malicioso. Además, el esquema usaba evasión: si el usuario no era reconocido como objetivo válido, veía una página inofensiva. El video estaba “no listado”, lo que dificultaba encontrarlo mediante búsquedas y también reportarlo con rapidez.
Magnitud del problema: credenciales robadas e impacto en criptoestafas
No existe un informe público que aísle cuánta criptomoneda se ha robado específicamente a través de anuncios falsos. Aun así, el artículo de Cryptopolitan contextualiza la escala del daño citando estimaciones de Chainalysis, que calcula pérdidas por estafas cripto de USD $17.000 millones en 2025.
El fenómeno también se conecta con el auge de los infostealers. La firma de ciberseguridad DeepStrike estimó que este tipo de malware afectó a millones de dispositivos y robó alrededor de 1,8 mil millones de credenciales en 2025. En campañas como la descrita, las credenciales funcionan como puerta de entrada para fraudes financieros y robo de activos.
DeepStrike resumió el incentivo con una frase clara: “Cualquier cosa con dinero adjunto a la banca en línea, PayPal, carteras de criptomonedas es obviamente valiosa para los ciberdelincuentes”. El punto es especialmente relevante para cripto, donde la irreversibilidad de muchas transacciones y el control directo de claves privadas reducen las posibilidades de recuperación cuando un atacante toma control.
En conjunto, la campaña de “Windows 11” y los casos previos describen un patrón: anuncios que imitan marcas de confianza, redirecciones a sitios clonados, filtros para esquivar análisis y malware diseñado para extraer secretos críticos. Para el usuario, la lección es incómoda pero práctica: el canal publicitario y el candado del navegador no garantizan legitimidad, y la frase semilla no debe entregarse bajo ningún pretexto.
Artículo escrito con ayuda de un redactor de contenido de IA, editado por Angel Di Matteo / DiarioBitcoin
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Modelos IA de OpenAI, Google y Anthropic optaron por armas nucleares en ejercicios de simulación bélica
Casa Blanca pide a empresas Big Tech asumir gastos de centros de datos IA ante alza de tarifas eléctricas
Adolescentes en EEUU usan chatbots de IA para apoyo emocional, alerta informe
