Kibernetički kriminalci pokrenuli su sofisticiranu kampanju iskorištavajući platformu za oglašavanje na Facebooku za distribuciju zlonamjernog softvera i krađu vjerodajnica za kriptovalutne novčanike, ciljajući korisnike širom svijeta putem obmanjujućih oglasa s temom Pi Network.
Zlonamjerna operacija, koja je započela 24. juna 2025. godine, poklapa se s proslavom Pi2Day i već je rasporedila preko 140 varijacija oglasa kako bi povećala svoj doseg na više kontinenata.
Ova napadačka kampanja prikazuje koordinirani napor aktera prijetnji koji su iskoristili legitimne mehanizme oglašavanja na društvenim mrežama za isporuku višestupanjskih zlonamjernih programa.
Ovi zlonamjerni oglasi lažno se predstavljaju kao službene promocije Pi Networka, nudeći lažne aplikacije za rudarenje i prijevarne portale za pristup novčanicima koji korisnicima obećavaju značajne nagrade u kriptovalutama.
Globalni doseg kampanje obuhvaća Sjedinjene Američke Države, Europu, Australiju, Kinu, Vijetnam, Indiju i Filipine, ukazujući na dobro financiranu operaciju s međunarodnim ambicijama.
Akteri prijetnji koriste dva glavna vektora napada za ugrožavanje žrtava. Prvi uključuje phishing stranice koje pedantno oponašaju legitimna sučelja Pi novčanika, potičući korisnike da unesu svoje 24-riječne fraze za oporavak pod izlikom preuzimanja 628 Pi tokena ili sudjelovanja u ekskluzivnim airdrop događajima.
Jednom uneseni, ti vjerodajnice daju napadačima potpunu kontrolu nad kriptovalutnim novčanicima žrtava, omogućavajući trenutne prijenose sredstava.
Istraživači Bitdefendera identificirali su drugi vektor napada kao aplikacije ugrađene zlonamjernim softverom prerušene u softver za rudarenje Pi Networka.
Ovi obmanjujući instalacijski programi obećavaju korisnicima bonuse od 31,4 Pi tokena za preuzimanje i izvršavanje PC aplikacija.
Međutim, softverski paketi sadrže zlonamjerne terete identificirane kao varijante Generic.MSIL.WMITask i Generic.JS.WMITask, predstavljajući višestupanjske zlonamjerne programe koje je tim za sigurnost Bitdefendera prethodno analizirao u svibnju 2025. godine.
Mehanizam infekcije zlonamjernim softverom prikazuje sofisticirani inženjering osmišljen za izbjegavanje otkrivanja uz održavanje upornosti na ugroženim sustavima.
Pri početnom izvršenju, zlonamjerni teret uspostavlja uporište kroz tehnike zamagljivanja koje zaobilaze tradicionalna antivirusna rješenja i okruženja za pijesak.
Arhitektura zlonamjernog softvera uključuje više faza, pri čemu svaka komponenta služi specifičnim funkcijama u ukupnom lancu napada.
Primarni teret fokusira se na prikupljanje vjerodajnica, sustavno izvlačeći spremljene lozinke, autentifikacijske tokene i ključeve kriptovalutnih novčanika s zaraženih sustava.
Istovremeno, zlonamjerni softver raspoređuje mogućnosti snimanja tipki (keylogging) za hvatanje unosa korisnika u stvarnom vremenu, uključujući novoupisane lozinke, fraze za oporavak i osjetljive financijske podatke.
Mehanizmi upornosti zlonamjernog softvera osiguravaju nastavak rada čak i nakon ponovnog pokretanja sustava, dok njegovi komunikacijski moduli uspostavljaju veze s infrastrukturom za zapovijedanje i kontrolu radi iznošenja ukradenih podataka i preuzimanja dodatnih zlonamjernih komponenti.
Uspjeh kampanje proizlazi iz iskorištavanja povjerenja korisnika u provjerene platforme društvenih medija i njihovog ograničenog razumijevanja praksi sigurnosti kriptovaluta.
Iskorištavanjem Facebookove oglasne legitimnosti i rastuće popularnosti Pi Networka, akteri prijetnji stvorili su učinkovit mehanizam distribucije koji nastavlja evoluirati i prilagođavati se sigurnosnim mjerama.