Sajber kriminalci pokrenuli su sofisticiranu kampanju iskorištavajući Facebookovu platformu za oglašavanje kako bi distribuisali malicozni softver i ukrali podatke o pristupu novčanicima za kriptovalute, ciljajući korisnike širom svijeta putem obmanjujućih reklama vezanih za Pi Network.
Maliciozne operacija, koja je započela 24. juna 2025. godine, poklapa se sa proslavom Pi2Day i već je upotrijebila preko 140 varijacija oglasa kako bi maksimizovale svoj domet na više kontinenata.
Ova napadačka kampanja demonstrira koordinisan napor kriminalnih grupa koje su iskoristile legitimne mehanizme oglašavanja na društvenim mrežama za isporuku višefaznog malicioznog softvera.
Ovi maliciozni oglasi prikrivaju se kao službene promocije Pi Networka, nudeći lažne aplikacije za rudarenje i prevarantske portale za pristup novčanicima koji korisnicima obećavaju značajne nagrade u kriptovalutama.
Globalni obim kampanje obuhvata Sjedinjene Američke Države, Evropu, Australiju, Kinu, Vijetnam, Indiju i Filipine, što ukazuje na dobro finansiranu operaciju sa međunarodnim ambicijama.
Prijetnja kriminalci koriste dva primarna vektora napada za kompromitovanje žrtava. Prvi uključuje phishing stranice koje pedantno oponašaju legitimne interfejse Pi novčanika, podstičući korisnike da unesu svoje 24-riječke fraze za oporavak pod izgovorom preuzimanja 628 Pi tokena ili učešća u ekskluzivnim događajima airdropa.
Jednom kada se ti podaci unesu, oni daju napadačima potpunu kontrolu nad novčanicima žrtava, omogućavajući trenutni transfer sredstava.
Istraživači iz Bitdefendera idenfikovali su drugi vektor napada kao aplikacije u koje je ugrađen maliciozni softver, prerušene u softver za rudarenje Pi Networka.
Ovi obmanjujući instalatori obećavaju korisnicima bonuse od 31,4 Pi tokena za preuzimanje i izvršavanje PC aplikacija.
Međutim, softverski paketi sadrže zlonamjerne terete identifikovane kao varijante Generic.MSIL.WMITask i Generic.JS.WMITask, predstavljajući višefazni maliciozni softver koji je prethodno analizirao Bitdefenderov sigurnosni tim u maju 2025. godine.
Mehanizam infekcije maliciozni softverom pokazuje sofisticirano inženjerstvo dizajnirano da izbjegne otkrivanje, istovremeno održavajući postojanost na kompromitovanim sistemima.
Po početnom izvršavanju, maliciozni teret uspostavlja uporište kroz tehnike obmanjivanja koje zaobilaze tradicionalna antivirusna rješenja i okruženja za analizu.
Arhitektura malicioznog softvera uključuje više faza, pri čemu svaka komponenta služi specifičnim funkcijama u lancu napada.
Primarni teret se fokusira na prikupljanje kredencijale, sistematski ekstrahujući sačuvane lozinke, sigurnosne tokena i ključeve novčanika za kriptovalute sa zaraženih sistema.
Istovremeno, maliciozni softver implementira mogućnosti keylogginga za snimanje korisničkog unosa u realnom vremenu, uključujući novounesene lozinke, fraze za oporavak i osjetljive finansijske podatke.
Mehanizmi postojanosti malicioznog softvera osiguravaju nastavak rada čak i nakon ponovnog pokretanja sistema, dok njegovi komunikacijski moduli uspostavljaju veze sa komandno-kontrolnom infrastrukturom radi iznošenja ukradenih podataka i preuzimanja dodatnih zlonamjernih komponenti.
Uspjeh kampanje proizlazi iz iskorištavanja povjerenja korisnika u provjerene platforme društvenih medija i njihovog ograničenog razumijevanja sigurnosnih praksi za kriptovalute.
Iskorištavanjem legitimnosti Facebookovog oglašavanja i rastuće popularnosti Pi Networka, kriminalci su stvorili efikasan mehanizam distribucije koji nastavlja da se razvija i prilagođava sigurnosnim mjerama.
