Selon la publication de la société Malwarebytes, une campagne de malvertising utilise des publicités Facebook imitant Microsoft pour rediriger vers des clones quasi parfaits de la page de téléchargement Windows 11, afin de distribuer un voleur d’informations.

• Le leurre repose sur des annonces Facebook professionnelles, brandées Microsoft, renvoyant vers des domaines lookalike en « 25H2 » (mimant la nomenclature des versions Windows). Les pages contrefaites copient logo, mise en page et mentions légales, la différence notable étant l’URL (ex. ms-25h2-download[.]pro). ➜ En cliquant sur « Download now », la victime récupère un exécutable trompeur au lieu d’une mise à jour Windows.

• La distribution est sélective via géofencing et détection de sandbox : les visiteurs depuis des IPs de data centers sont redirigés vers google.com, tandis que les utilisateurs « domestiques/entreprise » reçoivent la charge. Les opérateurs traquent les conversions via Facebook Pixel (événement Lead) et optimisent la dépense publicitaire en temps réel.

• La charge utile, ms-update32.exe (75 Mo), est hébergée sur GitHub (HTTPS, certificat valide) et packagée avec Inno Setup. À l’exécution, elle vérifie la présence de VM/debuggers puis déploie une appli Electron dans C:\Users<USER>\AppData\Roaming\LunarApplication, avec des libs Node.js pour créer des ZIP, suggérant la collecte et l’exfiltration (cibles probables : wallets crypto, seed phrases, identifiants navigateurs, cookies de session). Deux scripts PowerShell obfusqués (.yiz.ps1 / .unx.ps1) sont exécutés avec une ExecutionPolicy Unrestricted. La persistance s’appuie sur le registre (clé TIP légitime), et le binaire recourt à l’injection de processus (création suspendue, injection, reprise), au nettoyage des artefacts et à des schémas de chiffrement/obfuscation (RC4, HC‑128, XOR, hachage FNV) pour compliquer l’analyse.

• Côté infrastructure publicitaire, les acteurs opèrent deux campagnes parallèles (domaines et Pixel IDs distincts) pour la résilience en cas de retrait d’un domaine ou suspension d’un compte pub. Le texte précise que Malwarebytes bloquerait le payload et l’infrastructure identifiés, et liste des actions de remédiation (scan immédiat, changement de mots de passe depuis un appareil sain, transfert de fonds crypto vers un nouveau wallet, etc.).

🔎 IOCs et TTPs

  • IOCs
    • Fichier (SHA‑256) : c634838f255e0a691f8be3eab45f2015f7f3572fba2124142cf9fe1d227416aa (ms-update32.exe)
    • Domaines : ms-25h2-download[.]pro ; ms-25h2-update[.]pro ; ms25h2-download[.]pro ; ms25h2-update[.]pro
    • URL payload : raw.githubusercontent.com/preconfigured/dl/refs/heads/main/ms-update32.exe
    • Artefacts disque : C:\Users<USER>\AppData\Roaming\LunarApplication\ ; C:\Users<USER>\AppData\Local\Temp[random].yiz.ps1 ; C:\Users<USER>\AppData\Local\Temp[random].unx.ps1
    • Registre : HKEY_LOCAL_MACHINE\SYSTEM\Software\Microsoft\TIP\AggregateResults (blob binaire — persistance)
    • Infra publicitaire : Pixel ID 1483936789828513 ; Pixel ID 955896793066177 ; Campaign ID 52530946232510 ; Campaign ID 6984509026382
  • TTPs
    • Malvertising via publicités Facebook vers des domaines lookalike « 25H2 »
    • Géofencing + détection de sandbox/VM ; redirection bénigne (google.com) pour les IPs de data centers
    • Hébergement du binaire sur GitHub (confiance/HTTPS) ; Inno Setup comme packer
    • Déploiement d’une appli Electron (« LunarApplication ») pour la collecte/exfiltration
    • Exécution de PowerShell avec « -ExecutionPolicy Unrestricted » et scripts obfusqués
    • Persistance via registre TIP ; injection de processus (création suspendue)
    • Anti‑analyse (anti‑VM/debugger), nettoyage post‑exécution
    • Obfuscation/chiffrement : RC4, HC‑128, XOR, hachage FNV

Type d’article et but : analyse de menace détaillant une campagne de malvertising, son infrastructure, ses techniques d’évasion et les IOCs associés.

🧠 TTPs et IOCs détectés

TTP

[‘Malvertising via publicités Facebook vers des domaines lookalike « 25H2 »’, ‘Géofencing + détection de sandbox/VM ; redirection bénigne pour les IPs de data centers’, ‘Hébergement du binaire sur GitHub (confiance/HTTPS) ; Inno Setup comme packer’, ‘Déploiement d’une appli Electron pour la collecte/exfiltration’, ‘Exécution de PowerShell avec -ExecutionPolicy Unrestricted et scripts obfusqués’, ‘Persistance via registre TIP ; injection de processus (création suspendue)’, ‘Anti-analyse (anti-VM/debugger), nettoyage post-exécution’, ‘Obfuscation/chiffrement : RC4, HC-128, XOR, hachage FNV’]

IOC

{‘hash’: ‘c634838f255e0a691f8be3eab45f2015f7f3572fba2124142cf9fe1d227416aa’, ‘domain’: [‘ms-25h2-download.pro’, ‘ms-25h2-update.pro’, ‘ms25h2-download.pro’, ‘ms25h2-update.pro’], ‘url’: ‘raw.githubusercontent.com/preconfigured/dl/refs/heads/main/ms-update32.exe’, ‘file_path’: [‘C:\Users\\AppData\Roaming\LunarApplication\’, ‘C:\Users\\AppData\Local\Temp\[random].yiz.ps1’, ‘C:\Users\\AppData\Local\Temp\[random].unx.ps1’], ‘registry’: ‘HKEY_LOCAL_MACHINE\SYSTEM\Software\Microsoft\TIP\AggregateResults’, ‘ad_infrastructure’: [‘Pixel ID 1483936789828513’, ‘Pixel ID 955896793066177’, ‘Campaign ID 52530946232510’, ‘Campaign ID 6984509026382’]}

🔗 Source originale : https://www.malwarebytes.com/blog/scams/2026/02/facebook-ads-spread-fake-windows-11-downloads-that-steal-passwords-and-crypto-wallets