Windows假廣告偷助記詞！Facebook推送「免費升級Win11」貼文，模仿微軟官網難分真假

駭客正利用 Facebook 投放仿冒 Windows 11 更新的廣告，採用專業的微軟品牌標識誘騙用戶點擊，進而植入名為「Lunar Application」的惡意程式，專門竊取加密貨幣錢包助記詞與登入憑證。
（前情提要：下載微軟Win10小心！非官方版藏木馬「可躲防毒軟體偵測」，已盜取1.9萬鎂加密資產）
（背景補充：小心！卡巴斯基在 Android、iOS 熱門 APP 中發現竊取錢包助記詞的惡意軟體）

本文目錄

Toggle

• 假廣告、真陷阱：仿冒微軟官網一條龍詐騙
• 「Lunar Application」惡意框架：專攻加密錢包
• 地理圍欄技術：精準躲避資安掃描
• 如何自保？

資安研究人員近日報告，一波針對加密貨幣用戶的新型攻擊正在 Facebook 上蔓延。駭客購買 Facebook 廣告版位，投放外觀逼真的「Windows 11 免費升級」廣告，利用專業的微軟（Microsoft）品牌標識與視覺設計，誘騙用戶點擊。

假廣告、真陷阱：仿冒微軟官網一條龍詐騙

據悉，這些廣告的製作水準極高，不僅使用了微軟的官方 Logo 與品牌色彩，文案也模仿了微軟的官方語氣，一般用戶很難在第一時間辨別真偽。

當用戶點擊廣告後，會被導向一個精心克隆的微軟官方網站。該網站的介面、排版甚至網址都經過刻意偽裝，進一步降低用戶的戒心。網站隨即引導用戶下載所謂的「Windows 11 更新安裝包」，實際上卻是一個惡意程式的載體。

「Lunar Application」惡意框架：專攻加密錢包

一旦用戶執行下載的安裝程式，電腦便會被植入名為「Lunar Application」的惡意軟體框架。該程式的核心功能就是鎖定加密貨幣資產：

• 竊取錢包助記詞（Seed Phrase）：掃描電腦中儲存的助記詞備份，一旦取得，駭客即可完全掌控受害者的加密錢包
• 竊取登入憑證：擷取瀏覽器中儲存的交易所帳號密碼、錢包應用程式的登入資訊
• 竊取其他敏感資料：包括 Cookie、自動填入表單資料等，可用於進一步的帳號劫持

地理圍欄技術：精準躲避資安掃描

值得注意的是，駭客在這波攻擊中還採用了「地理圍欄（Geofencing）」技術，刻意過濾來自資料中心 IP 位址的連線請求。這意味著，資安公司使用的自動化掃描器與沙箱環境將難以存取惡意網站，大幅降低了攻擊被提前偵測和標記的機率。

這種手法顯示駭客具備相當的技術能力，不僅會社交工程，還懂得如何規避資安防護機制。

如何自保？

面對這類日益精密的攻擊手法，加密貨幣用戶應提高警覺：

• 永遠只從微軟官網（microsoft.com）下載更新：不要透過任何社群媒體廣告下載軟體
• 助記詞離線保存：絕對不要將助記詞以數位形式儲存在電腦上
• 啟用硬體錢包：大額資產應使用冷錢包（如 Ledger、Trezor）進行保管
• 定期檢查瀏覽器擴充功能：移除不明來源的外掛程式