网络安全公司Bitdefender近日揭露，脸书不法分子通过脸书（Facebook）广告网络实施持续性恶意软件攻击，虚假利用伪造的加密交易件加密货币交易平台和名人形象作为诱饵 ，通过恶意桌面客户端和PowerShell脚本传播恶意程序。货币

精心设计的所广欺诈链条

Bitdefender研究人员发现，攻击者冒用Binance、告传TradingView等知名交易所品牌，播恶并在广告中植入埃隆·马斯克（Elon Musk）和赞达亚（Zendaya）等名人形象，意软以此增强虚假加密货币交易推广的脸书可信度。源码下载当用户点击这些广告后 ，虚假会被重定向至高度仿真的加密交易件钓鱼网站，诱导其下载所谓的货币"桌面客户端" 。

图片来源：Bitdefender

该恶意软件采用多层攻击架构：下载的所广客户端会释放恶意DLL文件，在受害者计算机上启动基于.NET的告传本地服务器，形成隐蔽的播恶C2（命令与控制）中心 。云计算钓鱼网站前端包含去混淆脚本 ，通过WMI（Windows管理规范）查询与服务器通信，进而执行更多恶意负载。

精准投放与反检测机制

攻击最终阶段通常会执行多个经过编码的PowerShell脚本
，从远程服务器下载附加恶意程序。值得注意的是 ，攻击者实施了高级反沙箱检测技术，仅对符合特定人口统计特征和行为模式的香港云服务器"高价值目标"投放恶意负载 。

Bitdefender研究员Ionut Baltariu指出
，未携带特定广告追踪参数、未登录脸书账户，或使用"无价值"IP地址及操作系统的用户，只会看到无害内容 。这种精准投放策略使攻击者能在最大化攻击效果的同时，最小化被安全分析发现的风险。亿华云

24小时投放超百条恶意广告

研究人员已识别出数百个活跃推广恶意页面的脸书账户。其中某案例显示，单个页面在24小时内就投放了超过100条广告。虽然脸书会定期清除这些欺诈广告，但许多广告在被下架前已获得数千次浏览。

攻击者还创建了与TradingView等平台官方页面高度相似的虚假脸书专页 ，甚至伪造了宣传虚假赠品活动的帖子和评论。这些虚假页面中的服务器租用链接会直接将用户导向恶意软件分发网站 。

平台安全警钟再响

这并非脸书首次成为恶意软件传播渠道
。同日Morphisec公司的研究显示，网络罪犯正通过推广虚假AI平台的欺诈广告传播新型Noodlophile窃密程序
。这些案例凸显了犯罪集团如何滥用社交平台的覆盖范围和广告投放能力，也警示用户需提高警惕并加强防护措施 。

Bitdefender建议用户：谨慎对待网络广告、使用欺诈链接检测工具、源码库保持安全软件更新 ，并及时举报可疑的脸书广告。