Los ciberdelincuentes han lanzado una sofisticada campaña que explota la plataforma de publicidad de Facebook para distribuir malware y robar credenciales de billetera de criptomonedas, dirigiéndose a usuarios de todo el mundo a través de anuncios engañosos con temática de redes PI.
La operación maliciosa, que comenzó el 24 de junio de 2025, coincide con la celebración de PI2day y ya ha desplegado más de 140 variaciones de AD para maximizar su alcance en múltiples continentes.
La campaña de ataque demuestra un esfuerzo coordinado de actores de amenaza que han armado mecanismos legítimos de publicidad en redes sociales para ofrecer cargas útiles de malware de varias etapas.
Estos anuncios maliciosos se disfrazan de promociones oficiales de la red PI, que ofrecen aplicaciones mineras falsas y portales de acceso a la billetera fraudulenta que prometen a los usuarios recompensas sustanciales de criptomonedas.
El alcance global de la campaña abarca a los Estados Unidos, Europa, Australia, China, Vietnam, India y Filipinas, lo que indica una operación con ambiciones internacionales.
Los actores de amenaza emplean a dos vectores de ataque principales para comprometer a las víctimas. La primera implica páginas de phishing que imitan meticulosamente las interfaces de billetera PI legítimas, lo que lleva a los usuarios a ingresar sus frases de recuperación de 24 palabras con el pretexto de reclamar 628 tokens PI o participar en eventos exclusivos de AirDrop.
Página de phishing (fuente – bitdefender)
Una vez ingresado, estas credenciales otorgan a los atacantes completan el control sobre las billeteras de criptomonedas de las víctimas, lo que permite transferencias de fondos inmediatos.
Investigadores de Bitdefender identificado El segundo vector de ataque como aplicaciones embebidas en malware disfrazadas de software de minería de red PI.
Estos instaladores engañosos prometen bonos de usuarios de 31.4 tokens PI para descargar y ejecutar aplicaciones de PC.
Sin embargo, los paquetes de software contienen cargas útiles maliciosas identificadas como genic.msil.wmitask y genic.js.wmitask variantes, que representan malware de varias etapas analizado previamente por el equipo de seguridad de Bitdefender en mayo de 2025.
Mecanismo de infección por malware de varias etapas
El proceso de infección del malware demuestra ingeniería sofisticada diseñada para evadir la detección mientras mantiene la persistencia en sistemas comprometidos.
Tras la ejecución inicial, la carga útil maliciosa establece un punto de apoyo a través de técnicas de ofuscación que omiten las soluciones antivirus tradicionales y los entornos de sandbox.
La arquitectura del malware incorpora múltiples etapas, con cada componente que sirve funciones específicas en la cadena de ataque general.
La carga útil principal se centra en la recolección de credenciales, extrayendo sistemáticamente las contraseñas guardadas, los tokens de autenticación y las claves de la billetera de criptomonedas de los sistemas infectados.
Simultáneamente, el malware implementa capacidades de keylogging para capturar la entrada del usuario en tiempo real, incluidas las contraseñas recién ingresadas, las frases de recuperación e información financiera confidencial.
Los mecanismos de persistencia del malware aseguran la operación continua incluso después de que se reinicie el sistema, mientras que sus módulos de comunicación establecen conexiones con infraestructura de comando y control para exfiltrar datos robados y descargar componentes maliciosos adicionales.
El éxito de la campaña proviene de explotar la confianza de los usuarios en plataformas de redes sociales verificadas y su comprensión limitada de las prácticas de seguridad de criptomonedas.
Al aprovechar la legitimidad publicitaria de Facebook y la creciente popularidad de PI Network, los actores de amenaza han creado un mecanismo de distribución efectivo que continúa evolucionando y adaptándose a las contramedidas de seguridad.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
