Злоумышленники запускают платную рекламу в Facebook, замаскированную под официальные промо-материалы Microsoft, а затем перенаправляют пользователей на почти идеальные клоны страницы загрузки Windows 11. Нажатие кнопки Download Now вместо обновления Windows приводит к загрузке вредоносного установщика, который в фоновом режиме похищает сохраненные пароли, сессии браузеров и данные криптовалютных кошельков.
Атака начинается максимально буднично — с рекламы в Facebook. Объявление выглядит профессионально, использует фирменный стиль Microsoft и предлагает якобы актуальное обновление Windows 11. Для пользователя, который и так планировал обновить систему, это выглядит как удобный и безопасный способ сделать это быстрее.
Фейковая реклама обновления Windows 11 в Facebook
Фейковая реклама обновления Windows 11 в Facebook
При клике по объявлению пользователь попадает на сайт, практически неотличимый от настоящей страницы Microsoft Software Download. Логотип, верстка, шрифты и даже юридический текст в подвале страницы скопированы. Единственное заметное отличие — адрес в строке браузера. Вместо microsoft.com используются похожие домены:
Перед выдачей вредоносного файла сайт проверяет посетителя. Если подключение происходит с IP-адреса дата-центра (часто используемого исследователями и автоматическими сканерами), пользователь перенаправляется на google.com, и сайт выглядит безвредным.
Вредоносный файл получают только посетители, похожие на обычных домашних или офисных пользователей.
Такое сочетание геофенсинга и обнаружения песочниц позволило кампании долгое время избегать автоматического обнаружения и блокировки. Инфраструктура специально настроена на обход автоматизированных систем анализа.
При нажатии Download Now для целевого пользователя сайт также отправляет событие Facebook Pixel “Lead” — стандартный механизм отслеживания конверсий у легитимных рекламодателей. Таким образом, злоумышленники в реальном времени отслеживают, кто "клюнул", и оптимизируют рекламные кампании.
Файл размещен на GitHub — доверенной платформе, используемой миллионами разработчиков. Загрузка происходит по HTTPS с валидным сертификатом, поэтому браузеры не помечают файл как подозрительный.
Установщик создан с помощью Inno Setup — легитимного инструмента, который часто используется и злоумышленниками из-за возможности создавать внешне профессиональные инсталляторы.
На реальной системе пользователя установка продолжается.
Ключевой компонент — полноценное Electron-приложение, устанавливаемое в каталог:
Electron — легитимный фреймворк, используемый такими приложениями, как Slack и Visual Studio Code, что делает его удобной маскировкой.
Название Lunar выбрано осознанно: оно ассоциируется с криптовалютными инструментами. Приложение включает библиотеки Node.js для создания ZIP-архивов, что указывает на сбор, упаковку и последующую отправку данных. Среди вероятных целей — файлы криптокошельков, seed-фразы, хранилища учетных данных браузеров и cookies сессий.
Параллельно в каталог %TEMP% записываются и запускаются два обфусцированных PowerShell-скрипта со случайными именами. Запуск осуществляется с параметрами, отключающими защитные механизмы Windows:
Раздел TIP (Text Input Processor) является легитимным компонентом Windows, что снижает вероятность обнаружения.
Телеметрия также указывает на использование process injection: вредонос создает процессы Windows в приостановленном состоянии, внедряет в них код и затем возобновляет выполнение. Это позволяет выполнять код от имени легитимных процессов и снижает шанс детектирования.
После закрепления установщик удаляет временные файлы, уменьшая цифровой след. В отдельных случаях он может инициировать перезагрузку или выключение системы, что затрудняет анализ.
Для защиты от реверс-инжиниринга используются различные методы шифрования и обфускации: RC4, HC-128, XOR, а также FNV-хеширование для разрешения API.
Злоумышленники запустили две параллельные рекламные кампании, каждая из которых вела на собственный фишинговый домен. Для каждой кампании использовались отдельные Facebook Pixel ID и параметры трекинга. Если один домен или рекламный аккаунт блокируется, вторая цепочка продолжает работать.
Такой подход указывает на продуманную избыточность и устойчивость инфраструктуры.
Важно помнить: обновления Windows устанавливаются через Windows Update в настройках системы, а не через сайты и тем более не через рекламу в соцсетях. Microsoft не рекламирует обновления Windows в Facebook.
Если вы скачали и запустили файл с одного из указанных сайтов, систему следует считать скомпрометированной:
Хэш файла (SHA-256)
Домены
Артефакты файловой системы
Реестр
Рекламная инфраструктура Facebook
источник
"Я просто хотел обновить Windows"
Атака начинается максимально буднично — с рекламы в Facebook. Объявление выглядит профессионально, использует фирменный стиль Microsoft и предлагает якобы актуальное обновление Windows 11. Для пользователя, который и так планировал обновить систему, это выглядит как удобный и безопасный способ сделать это быстрее.
Фейковая реклама обновления Windows 11 в Facebook
Фейковая реклама обновления Windows 11 в Facebook
При клике по объявлению пользователь попадает на сайт, практически неотличимый от настоящей страницы Microsoft Software Download. Логотип, верстка, шрифты и даже юридический текст в подвале страницы скопированы. Единственное заметное отличие — адрес в строке браузера. Вместо microsoft.com используются похожие домены:
- ms-25h2-download[.]pro
- ms-25h2-update[.]pro
- ms25h2-download[.]pro
- ms25h2-update[.]pro
Геофенсинг: полезную нагрузку получают не все
Кампания не заражает всех подряд.Перед выдачей вредоносного файла сайт проверяет посетителя. Если подключение происходит с IP-адреса дата-центра (часто используемого исследователями и автоматическими сканерами), пользователь перенаправляется на google.com, и сайт выглядит безвредным.
Вредоносный файл получают только посетители, похожие на обычных домашних или офисных пользователей.
Такое сочетание геофенсинга и обнаружения песочниц позволило кампании долгое время избегать автоматического обнаружения и блокировки. Инфраструктура специально настроена на обход автоматизированных систем анализа.
При нажатии Download Now для целевого пользователя сайт также отправляет событие Facebook Pixel “Lead” — стандартный механизм отслеживания конверсий у легитимных рекламодателей. Таким образом, злоумышленники в реальном времени отслеживают, кто "клюнул", и оптимизируют рекламные кампании.
Поддельный установщик Windows 11
75 МБ "установщик", загружаемый напрямую с GitHub
Если пользователь проходит все проверки, сайт загружает файл ms-update32.exe. Его размер — около 75 МБ, что соответствует ожиданиям от установщика Windows.Файл размещен на GitHub — доверенной платформе, используемой миллионами разработчиков. Загрузка происходит по HTTPS с валидным сертификатом, поэтому браузеры не помечают файл как подозрительный.
Установщик создан с помощью Inno Setup — легитимного инструмента, который часто используется и злоумышленниками из-за возможности создавать внешне профессиональные инсталляторы.
Что происходит при запуске
Перед выполнением вредоносных действий установщик проверяет среду выполнения: наличие виртуальных машин, отладчиков и инструментов анализа. При их обнаружении работа прекращается. Это стандартная логика обхода песочниц, которые по своей природе работают в виртуализированной среде.На реальной системе пользователя установка продолжается.
Ключевой компонент — полноценное Electron-приложение, устанавливаемое в каталог:
C:\Users\<USER>\AppData\Roaming\LunarApplication\Electron — легитимный фреймворк, используемый такими приложениями, как Slack и Visual Studio Code, что делает его удобной маскировкой.
Название Lunar выбрано осознанно: оно ассоциируется с криптовалютными инструментами. Приложение включает библиотеки Node.js для создания ZIP-архивов, что указывает на сбор, упаковку и последующую отправку данных. Среди вероятных целей — файлы криптокошельков, seed-фразы, хранилища учетных данных браузеров и cookies сессий.
Параллельно в каталог %TEMP% записываются и запускаются два обфусцированных PowerShell-скрипта со случайными именами. Запуск осуществляется с параметрами, отключающими защитные механизмы Windows:
powershell.exe -NoProfile -NoLogo -InputFormat Text -NoExit -ExecutionPolicy Unrestricted -Command -Закрепление в системе и сокрытие следов
Для сохранения устойчивости после перезагрузки вредонос записывает крупный бинарный блок данных в реестр по пути:HKEY_LOCAL_MACHINE\SYSTEM\Software\Microsoft\TIP\AggregateResultsРаздел TIP (Text Input Processor) является легитимным компонентом Windows, что снижает вероятность обнаружения.
Телеметрия также указывает на использование process injection: вредонос создает процессы Windows в приостановленном состоянии, внедряет в них код и затем возобновляет выполнение. Это позволяет выполнять код от имени легитимных процессов и снижает шанс детектирования.
После закрепления установщик удаляет временные файлы, уменьшая цифровой след. В отдельных случаях он может инициировать перезагрузку или выключение системы, что затрудняет анализ.
Для защиты от реверс-инжиниринга используются различные методы шифрования и обфускации: RC4, HC-128, XOR, а также FNV-хеширование для разрешения API.
Почему именно Facebook
Использование платной рекламы в Facebook заслуживает отдельного внимания. Это не фишинговое письмо и не сомнительный результат поиска — это оплаченные объявления, отображающиеся рядом с постами друзей и родственников.Злоумышленники запустили две параллельные рекламные кампании, каждая из которых вела на собственный фишинговый домен. Для каждой кампании использовались отдельные Facebook Pixel ID и параметры трекинга. Если один домен или рекламный аккаунт блокируется, вторая цепочка продолжает работать.
Такой подход указывает на продуманную избыточность и устойчивость инфраструктуры.
Что делать, если вы могли пострадать
Эта кампания технически выверена и демонстрирует хорошее понимание того, как работают системы безопасности и поведение пользователей. Выбор Facebook в качестве канала доставки обусловлен высоким уровнем доверия в этом контексте.Важно помнить: обновления Windows устанавливаются через Windows Update в настройках системы, а не через сайты и тем более не через рекламу в соцсетях. Microsoft не рекламирует обновления Windows в Facebook.
Если вы скачали и запустили файл с одного из указанных сайтов, систему следует считать скомпрометированной:
- Не входите в учетные записи с этого компьютера, пока он не будет проверен и очищен
- Немедленно выполните полное сканирование системы с помощью Malwarebytes
- Смените пароли от почты, банковских сервисов и соцсетей с другого, чистого устройства
- Если на системе использовались криптокошельки — переведите средства на новый кошелек с новой seed-фразой, созданной на чистом устройстве
- При наличии финансовых данных рассмотрите уведомление банка и включение мониторинга мошеннических операций
Для ИТ- и security-команд
- Заблокировать фишинговые домены на уровне DNS и web-proxy
- Настроить алерты на запуск PowerShell с параметром -ExecutionPolicy Unrestricted вне административных сценариев
- Проверить наличие каталога LunarApplication и файлов .yiz.ps1 / .unx.ps1 со случайными именами в %TEMP%
Indicators of Compromise (IOCs)
Хэш файла (SHA-256)
- c634838f255e0a691f8be3eab45f2015f7f3572fba2124142cf9fe1d227416aa (ms-update32.exe)
Домены
- ms-25h2-download[.]pro
- ms-25h2-update[.]pro
- ms25h2-download[.]pro
- ms25h2-update[.]pro
- raw.githubusercontent.com/preconfigured/dl/refs/heads/main/ms-update32.exe
Артефакты файловой системы
- C:\Users<USER>\AppData\Roaming\LunarApplication\
- C:\Users<USER>\AppData\Local\Temp[random].yiz.ps1
- C:\Users<USER>\AppData\Local\Temp[random].unx.ps1
Реестр
- HKEY_LOCAL_MACHINE\SYSTEM\Software\Microsoft\TIP\AggregateResults (крупные бинарные данные — механизм персистентности)
Рекламная инфраструктура Facebook
- Pixel ID: 1483936789828513
- Pixel ID: 955896793066177
- Campaign ID: 52530946232510
- Campaign ID: 6984509026382
источник
