Golpes, Inteligência de Ameaças

Facebook divulgam downloads falsos Windows que roubam senhas e carteiras de criptomoedas

por Stefan Dasic | 20 de fevereiro de 2026

Os invasores estão veiculando Facebook pagos Facebook que parecem promoções oficiais da Microsoft e, em seguida, direcionando os usuários para clones quase perfeitos da página de download Windows . Ao clicar em “Baixar agora”, em vez de uma Windows , você obtém um instalador malicioso — que rouba silenciosamente senhas salvas, sessões do navegador e dados de carteiras de criptomoedas.

“Eu só queria atualizar Windows

O ataque começa com algo completamente comum: um Facebook . Ele parece profissional, usa a marca Microsoft e promove o que parece ser a última atualização Windows . Se você pretende manter seu PC atualizado, parece um atalho conveniente.

Clique no anúncio e você será direcionado para um site quase idêntico à página real de download de software da Microsoft. O logotipo, o layout, as fontes e até mesmo o texto legal no rodapé foram copiados. A única diferença óbvia está na barra de endereço. Em vez de microsoft.com, você verá um desses domínios semelhantes:

  • ms-25h2-download[.]pro
  • ms-25h2-update[.]pro
  • ms25h2-download[.]pro
  • ms25h2-update[.]pro

O “25H2” nos nomes de domínio é deliberado. Ele imita a convenção de nomenclatura que a Microsoft usa para Windows — 24H2, a versão atual, estava na boca de todos quando esta campanha foi lançada, fazendo com que os domínios falsos parecessem plausíveis à primeira vista.

Geofencing: apenas os alvos certos recebem a carga útil

Esta campanha não infecta cegamente todos os que visitam o site.

Antes de distribuir o malware, a página falsa verifica quem você é. Se você se conectar a partir de um endereço IP de data center — frequentemente usado por pesquisadores de segurança e scanners automatizados —, será redirecionado para google.com. O site parece inofensivo.

Apenas visitantes que parecem ser usuários domésticos ou comerciais regulares recebem o arquivo malicioso.

Essa técnica, conhecida como geofencing combinada com detecção sandbox, foi o que permitiu que essa campanha fosse executada por tanto tempo sem ser detectada e interrompida por sistemas automatizados. A infraestrutura é configurada para evitar análises de segurança automatizadas.

Quando um usuário alvo clica em “Baixar agora”, o site aciona um evento “Lead” Facebook — o mesmo método de rastreamento que anunciantes legítimos usam para medir conversões. Os invasores estão monitorando quais vítimas mordem a isca e otimizando seus gastos com publicidade em tempo real.

Instalador falso Windows

Um “instalador” de 75 MB servido diretamente do GitHub

Se você passar nas verificações, o site baixa um arquivo chamado ms-update32.exe. Com 75 MB, ele parece um Windows legítimo Windows .

O arquivo está hospedado no GitHub, uma plataforma confiável usada por milhões de desenvolvedores. Isso significa que o download é feito por HTTPS com um certificado de segurança válido. Como ele vem de um domínio confiável, os navegadores não o sinalizam automaticamente como suspeito.

O instalador foi criado usando o Inno Setup, uma ferramenta legítima frequentemente utilizada de forma indevida por autores de malware, pois cria pacotes de instalação com aparência profissional.

O que acontece quando você o executa

Antes de fazer qualquer coisa prejudicial, o instalador verifica se está sendo observado. Ele procura ambientes de máquinas virtuais, softwares de depuração e ferramentas de análise. Se encontrar algum deles, ele para. Essa é a mesma lógica de evasão que permite que ele passe por muitas sandboxes de segurança automatizadas — esses sistemas são executados dentro de máquinas virtuais por padrão.

Na máquina de um usuário real, o instalador prossegue com a extração e a implantação de seus componentes.

O componente mais significativo é um aplicativo completo baseado em Electron instalado para C:\Users\<USER>\AppData\Roaming\LunarApplication\O Electron é uma estrutura legítima utilizada por aplicativos como o Slack e o Visual Studio Code. Isso o torna um disfarce útil.

A escolha do nome não é acidental. “Lunar” é uma marca associada a ferramentas de criptomoeda, e o aplicativo vem com bibliotecas Node.js projetadas especificamente para criar arquivos ZIP — sugerindo que ele coleta dados, os empacota e os envia. Os alvos prováveis incluem arquivos de carteiras de criptomoedas, frases-semente, armazenamentos de credenciais de navegadores e cookies de sessão.

Ao mesmo tempo, dois scripts PowerShell ofuscados com nomes de arquivos aleatórios são gravados na pasta %TEMP% e executados com uma linha de comando que desativa deliberadamente as proteções Windows :

powershell.exe -NoProfile -NoLogo -InputFormat Text -NoExit -ExecutionPolicy Unrestricted -Command -

Escondido no registro, cobrindo seus rastros

Para sobreviver às reinicializações, o malware grava um grande blob binário no Windows em: HKEY_LOCAL_MACHINE\SYSTEM\Software\Microsoft\TIP\AggregateResults.

O caminho do registro do TIP (Processador de Entrada de Texto) é um Windows legítimo Windows , o que torna menos provável que levante suspeitas.

A telemetria também mostra um comportamento consistente com a injeção de processos. O malware cria Windows em estado suspenso, injeta código neles e retoma a execução. Isso permite que o código malicioso seja executado sob a identidade de um processo legítimo, reduzindo a chance de detecção.

Uma vez estabelecida a execução, o instalador exclui os arquivos temporários para reduzir seus vestígios forenses. Ele também pode iniciar operações de desligamento ou reinicialização do sistema, potencialmente para interferir na análise.

O malware utiliza várias técnicas de criptografia e ofuscação, incluindo RC4, HC-128, codificação XOR e hash FNV para resolução de API. Esses métodos tornam a análise estática mais difícil.

A abordagem Facebook

Vale a pena refletir sobre o uso de Facebook paga Facebook para distribuir malware. Não se trata de um e-mail de phishing que vai parar na pasta de spam ou de um resultado malicioso escondido em uma página de pesquisa. São Facebook pagos Facebook que aparecem ao lado de publicações de amigos e familiares.

Os invasores realizaram duas campanhas publicitárias paralelas, cada uma direcionando para domínios de phishing distintos. Cada campanha utilizou seu próprio ID Facebook e parâmetros de rastreamento. Se um domínio ou conta publicitária for desativado, o outro pode continuar em funcionamento.

O uso de dois domínios paralelos e duas campanhas publicitárias separadas sugere que os operadores têm redundância incorporada — se um domínio for retirado do ar ou uma conta publicitária for suspensa, a outra continua funcionando.

O que fazer se você acredita ter sido afetado

Esta campanha é tecnicamente sofisticada e operacionalmente consciente. A infraestrutura demonstra conhecimento das técnicas comuns de pesquisa de segurança e sandboxing. Eles entendem como as pessoas baixam software e escolheram Facebook como seu vetor de entrega precisamente porque ela alcança usuários reais em um contexto onde a confiança é alta.

Lembre-se: Windows vêm do Windows nas configurações do seu sistema, não de um site e nunca de um anúncio nas redes sociais. A Microsoft não anuncia Windows no Facebook.

E uma dica profissional: Malwarebytes detectado e bloqueado a carga útil identificada e a infraestrutura associada.

Se você baixou e executou um arquivo de qualquer um desses sites, considere o sistema comprometido e aja rapidamente.

  • Não faça login em nenhuma conta desse computador até que ele tenha sido verificado e limpo.
  • Execute imediatamente uma verificação completa com Malwarebytes.
  • Altere as senhas de contas importantes, como e-mail, bancos e redes sociais, em um dispositivo diferente e limpo.
  • Se você usa carteiras de criptomoedas nessa máquina, transfira os fundos para uma nova carteira com uma nova frase-semente gerada em um dispositivo limpo.
  • Considere alertar seu banco e ativar o monitoramento de fraudes se alguma credencial financeira estiver armazenada ou acessível nesse dispositivo.

Para equipes de TI e segurança:

  • Bloqueie os domínios de phishing no DNS e no proxy da web
  • Alerta sobre a execução do PowerShell com -ExecutionPolicy Unrestricted em contextos não administrativos
  • Procure o diretório LunarApplication e randomizado .yiz.ps1 / .unx.ps1 arquivos em %TEMP%

Indicadores de Compromisso (IOCs)

Hash do arquivo (SHA-256)

  • c634838f255e0a691f8be3eab45f2015f7f3572fba2124142cf9fe1d227416aa (ms-update32.exe)

Domínios

  • ms-25h2-download[.]pro
  • ms-25h2-update[.]pro
  • ms25h2-download[.]pro
  • ms25h2-update[.]pro
  • raw.githubusercontent.com/preconfigured/dl/refs/heads/main/ms-update32.exe (URL de entrega da carga útil)

Artefatos do sistema de arquivos

  • C:\Users\<USER>\AppData\Roaming\LunarApplication\
  • C:\Users\<USER>\AppData\Local\Temp\[random].yiz.ps1
  • C:\Users\<USER>\AppData\Local\Temp\[random].unx.ps1

Registro

  • HKEY_LOCAL_MACHINE\SYSTEM\Software\Microsoft\TIP\AggregateResults (dados binários grandes — persistência)

Infraestrutura Facebook

  • ID do pixel: 1483936789828513
  • ID do pixel: 955896793066177
  • ID da campanha: 52530946232510
  • ID da campanha: 6984509026382

Sobre o autor

Stefan Dasic

Stefan Dasic

Apaixonado por soluções antivírus, Stefan está envolvido em testes de malware e controle de qualidade de produtos AV desde muito cedo. Como parte da equipe Malwarebytes , Stefan se dedica a proteger os clientes e garantir sua segurança.

ÚLTIMOS ARTIGOS

IA
Uma mão se abaixa para pegar um asterisco de uma senha escrita.

As senhas geradas por IA são um risco à segurança

Fevereiro 19, 2026

As senhas geradas por IA são “altamente previsíveis” e não são verdadeiramente aleatórias, tornando-as mais fáceis de serem quebradas por cibercriminosos.

Notícias
Tenha logo

A fabricante de produtos íntimos Tenga divulgou dados de clientes

Fevereiro 19, 2026

Um ataque de phishing a um funcionário da Tenga pode ter exposto dados de clientes dos EUA. Os clientes devem estar atentos a tentativas de phishing com tema de sextorsão.

Violações de dados
Logotipo da Betterment

A violação de dados da Betterment pode ser pior do que pensávamos

Fevereiro 18, 2026

Essa violação agora parece muito mais grave. Os dados vazados incluem informações pessoais e financeiras detalhadas que os phishers poderiam usar.

Ícone dos colaboradores

Contribuintes

Ícone da Central de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de golpes

Golpes