💡 Astuce : Les données de l'article suivantes sont fournies à titre indicatif uniquement. Veuillez vous référer à la situation réelle et aux réponses du service client pour plus de détails.
Oui, votre mineur de Bitcoin, ou plus précisément, les identifiants de votre portefeuille de cryptomonnaies, sont menacés par des attaques de phishing via des publicités Facebook. Il y a eu une recrudescence récente d'arnaques par publicités Facebook, se faisant passer pour des liens de "mise à niveau vers Windows 11", spécifiquement conçus pour voler les identifiants de connexion aux portefeuilles de cryptomonnaies et aux pools de minage.
Selon un rapport de Malwarebytes de février 2026, des pirates ont utilisé des publicités Facebook déguisées en téléchargements de mises à jour Windows 11 pour attirer les geeks à télécharger et installer un logiciel de surveillance qui vole les informations clés des portefeuilles de cryptomonnaies. Par conséquent, ne cliquez jamais directement sur les liens de téléchargement dans les publicités. Il est préférable d'activer l'authentification à deux facteurs (2FA) sur votre mineur. Ensuite, je partagerai des informations sur ces dangers !
Dangereux ?⛏️Rémunération des mineurs ASIC
Vous pensez que votre petit mineur extrait des profits pour vous, mais il pourrait en réalité "travailler" pour des pirates. Ce n'est pas de l'alarmisme mais un nouveau type d'attaque de vol d'informations. Les pirates ne volent plus directement vos pièces ; à la place, ils volent discrètement les informations de votre portefeuille de cryptomonnaies, détournant les récompenses de puissance de calcul qui devraient vous revenir vers leurs propres portefeuilles. Selon le Rapport sur les Menaces 2025 de Bitdefender, plus de 1200 mineurs ASIC dans le monde ont été détectés avec de telles modifications de configuration clandestines, un seul mineur perdant en moyenne jusqu'à 13 TH/s de taux de hachage par jour.
❌❌❌Ce sont les MAUVAIS liens de cette campagne publicitaire malveillante❌❌❌
Le processus est comme si votre colis était échangé en cours de route. Votre Zyber 8G Premium fonctionne toujours, et la page du pool de minage affiche "opérationnel", mais le Bitcoin miné s'écoule vers une adresse inconnue en raison d'actions préalables. Le vecteur d'attaque est souvent un micrologiciel tiers ou des outils de gestion qui semblent être des "optimisations". Par exemple, un téléchargement de mise à jour Windows pourrait être le début de l'installation d'un cheval de Troie. Les pirates exploitent la mentalité des mineurs ou des geeks recherchant l'efficacité opérationnelle ultime.
- Chemin d'attaque: Fausse Publicité → Téléchargement d'Outil Infecté → L'Outil Obtient les Privilèges Windows.
- Soutien d'Autorité: La North American Bitcoin Miners Association (NBMA) a classé cela comme une menace de "haute priorité" au niveau physique dans son livre blanc sur la sécurité du T3 2025.
Comment le détecter ? Ne regardez pas seulement les récompenses totales sur le pool ; vérifiez l'arrière-plan pour des anomalies comme des logiciels/dossiers/programmes inhabituels mentionnés plus tard. Puisque ce type de programme vole silencieusement les mots de passe enregistrés, les sessions de navigateur et les données de portefeuille de cryptomonnaies en arrière-plan, il est difficile à détecter. De plus, pour contourner les logiciels antivirus conventionnels, les attaquants ont implémenté plusieurs couches de protection sur la charge utile. Rappelez-vous, toute publicité de mise à jour non officielle est un site de phishing.
Repérer les Publicités Arnaques🚫
Identifier les publicités arnaques repose sur un sentiment "d'incongruité". Les budgets publicitaires des pirates pourraient être plus élevés que ceux des projets légitimes, donc ils peuvent apparaître partout ! Après tout, une seule réussite rend le budget négligeable par rapport aux profits lucratifs tirés de l'écart d'information ! Mais même la peau de mouton la plus convaincante ne peut cacher la queue du loup. Si les canaux officiels ne l'ont pas annoncé, comment une publicité tierce ose-t-elle le faire, et comment osez-vous y croire ? Fiez-vous toujours à la page officielle de Microsoft, bien que les pirates puissent parfaitement imiter une page officielle, l'URL sera clairement anormale ! La logique de ciblage des publicités arnaques évolue. Avant, c'était un simple ciblage large ; maintenant, ils ciblent des tags d'intérêt spécifiques comme "Bitcoin Mining", "ASIC Miner", "Bitaxe Miner" pour pousser des opérations quotidiennes comme les mises à jour Windows aux utilisateurs geeks. Plus sournoisement, ils utilisent la fonction d'expansion "Audiences similaires" de Facebook pour trouver et tromper vos collègues mineurs.
Publicité frauduleuse de mise à jour Windows 11 trouvée sur Facebook
Quelle est l'astuce psychologique des publicités arnaques ? Elles ciblent la "Peur de Manquer Quelque Chose" (FOMO). Par exemple : "Gratuit pour un temps limité !" Vous pensez, un plugin qui coûte 49 $ sur le site officiel est gratuit ? Vous cliquez sans réfléchir. Mais la vérité est que le micrologiciel d'un mineur ASIC ne peut pas être installé directement via une page web. Une publicité Facebook qui a l'air professionnelle, utilise l'image de marque Microsoft, et promeut ce qui semble être la dernière mise à jour Windows 11. Si vous vouliez garder votre PC à jour, cela semble être un raccourci pratique. Mais méfiez-vous de ces pièges courants !
❓Astuce du Nom de Domaine : Le "25H2" dans les noms de domaine est délibéré. Il imite la convention de nommage des versions de Windows de Microsoft. La version actuelle, 24H2, était sur toutes les lèvres au lancement de cette campagne, rendant ces faux domaines plausibles au premier coup d'œil.
🔥Piège Visuel : Le logo, la mise en page, les polices, et même le texte légal dans le pied de page sont identiques. La seule différence évidente est dans la barre d'adresse.
➡️Drapeau Rouge Comportemental : La page de destination vous demande de "désactiver le logiciel antivirus pour assurer une installation fluide", ce qui est comme vous demander de retirer votre propre porte blindée.
Cliquez sur la publicité et vous atterrissez sur un site qui ressemble presque à s'y méprendre à la vraie page de téléchargement de logiciels de Microsoft. Au lieu de , vous verrez un de ces domaines similaires :
- ms-25h2-download[.]pro
- ms-25h2-update[.]pro
- ms25h2-download[.]pro
- ms25h2-update[.]pro
Ces publicités semblent être des promotions officielles de Microsoft, dirigeant les utilisateurs vers des clones presque parfaits de la page de téléchargement de Windows 11. Cliquez sur "Télécharger maintenant" et au lieu d'une mise à jour Windows, vous obtenez un installateur malveillant — un qui vole silencieusement les mots de passe enregistrés, les sessions de navigateur et les données de portefeuille de cryptomonnaies. Tout commence par, "Je voulais juste mettre à jour Windows."
✋ Stop ! Ne Cliquez Pas sur le Lien
Votre première réaction en voyant un lien publicitaire devrait être : L'ignorer et ne pas cliquer ! Cette "méthode bête" peut bloquer plus de 99% des attaques d'ingénierie sociale. Parce que l'objectif ultime des publicités arnaques est de vous faire télécharger un virus ou un programme de surveillance, et non de vous tromper directement pour entrer vos identifiants sur une fausse page de connexion — une technique de vol beaucoup plus évidente ! Une fois téléchargé et passé inaperçu, tous les mots de passe de compte que vous entrez habituellement plus tard dans les navigateurs ou ailleurs peuvent être reçus par les pirates en moins d'une minute.
Cette campagne n'infecte pas aveuglément tous ceux qui visitent le site. Avant de délivrer le logiciel malveillant, la fausse page vérifie qui vous êtes. Si vous vous connectez depuis une adresse IP de centre de données — souvent utilisée par les chercheurs en sécurité et les scanners automatisés — vous êtes redirigé vers google.com. Le site semble inoffensif. Seuls les visiteurs qui semblent être des utilisateurs réguliers à domicile ou au bureau reçoivent le fichier malveillant. Cette technique, connue sous le nom de géorepérage combiné à la détection de sandbox, est ce qui a permis à cette campagne de fonctionner si longtemps sans être détectée et arrêtée par des systèmes automatisés. L'infrastructure est configurée pour échapper à l'analyse de sécurité automatisée. Lorsqu'un utilisateur ciblé clique sur "Télécharger maintenant", le site déclenche un événement "Lead" Facebook Pixel ! C'est la même méthode de suivi que les annonceurs légitimes utilisent pour mesurer les conversions. Les attaquants surveillent quelles victimes mordent à l'hameçon et optimisent leurs dépenses publicitaires en temps réel.
Si vous avez téléchargé et exécuté un fichier provenant de l'un de ces sites, traitez le système comme compromis et agissez rapidement.
- Ne vous connectez à aucun compte depuis cet ordinateur tant qu'il n'a pas été analysé et nettoyé.
- Effectuez immédiatement une analyse complète à l'aide d'outils tiers. Vous pouvez également vous référer au rapport de résolution fourni par Malwarebytes le 20 février 2026.
- Utilisez un autre appareil propre pour changer les mots de passe des comptes importants comme l'e-mail, la banque et les réseaux sociaux.
- Si vous utilisez des portefeuilles de cryptomonnaies sur cette machine, transférez les fonds vers un nouveau portefeuille avec une nouvelle phrase de récupération générée sur un appareil propre.
- Envisagez d'alerter votre banque et d'activer la surveillance des fraudes si des identifiants financiers étaient stockés sur ou accessibles depuis cet appareil.
Pour les équipes informatiques et de sécurité :
- Bloquez les domaines de phishing au niveau DNS et du proxy web.
- Soyez alerté de l'exécution de PowerShell avec
-ExecutionPolicy Unrestricteddans des contextes non administratifs. - Recherchez le répertoire LunarApplication et les fichiers
.yiz.ps1/.unx.ps1aléatoires dans%TEMP%.
Ce n'est pas la première fois que des pirates de cryptomonnaies utilisent des publicités Facebook pour voler des données de portefeuilles crypto. L'année dernière, des pirates ont exploité l'événement annuel Pi2Day pour lancer une campagne publicitaire malveillante sur Facebook ciblant les utilisateurs de cryptomonnaies. La communauté Pi Network célèbre l'événement annuel Pi2Day le 28 juin. Lors du dernier événement, des pirates ont utilisé l'image de marque de Pi Network pour publier 140 fausses publicités. Les victimes étaient redirigées vers des sites de phishing promouvant des jetons Pi gratuits ou des événements d'airdrop mais exigeant l'échange de la phrase de récupération de la victime. Selon Bitdefender, une fausse publicité vidéo intitulée "Free TradingView Premium - The Secret Method They Don't Want You To Know" a été visionnée plus de 182 000 fois en quelques jours. La description de la vidéo contenait des liens vers un exécutable malveillant. Elle employait une technique d'évasion qui montrait aux utilisateurs une page inoffensive si les attaquants ne les jugeaient pas comme une cible valide. La vidéo était non listée, la rendant non recherchable et difficile à signaler à Google. Selon la firme de cybersécurité DeepStrike, les logiciels malveillants voleurs d'informations ont affecté des millions d'appareils en 2025, volant environ 1,8 milliard d'identifiants. Le rapport indiquait : "Tout ce qui concerne la banque en ligne, PayPal, les portefeuilles crypto — évidemment tout ce qui a de l'argent — est ciblé par les cybercriminels."
Protégez vos Clés Crypto🎯
Protéger vos clés de cryptomonnaies, c'est protéger votre mineur, le Zyber 8S. Il s'agit essentiellement d'empêcher votre adresse de portefeuille d'être divulguée et de garantir que le "droit de retrait final" est toujours sous votre contrôle. Une clé privée n'est pas un mot de passe ; si elle est perdue, elle est vraiment perdue, sans option "mot de passe oublié". Pour les mineurs, le risque ne réside pas seulement dans les portefeuilles chauds mais aussi dans le paramétrage de l'adresse de paiement pour les pools de minage. De nombreux débutants configurent leurs récompenses de pool pour être envoyées directement à une adresse d'échange (comme Coinbase). Cela externalise entièrement la responsabilité de garde de la clé privée et ajoute le risque de vol au stade du retrait.
En partant des premiers principes, la méthode la plus sûre est d'utiliser un portefeuille froid matériel pour générer une adresse Bitcoin dédiée uniquement à la réception des paiements du pool. La clé privée de cette adresse n'a jamais touché un appareil connecté à Internet. Selon les données de Ledger au Sommet sur la Sécurité Blockchain 2024, l'utilisation d'un portefeuille matériel pour gérer les revenus du minage réduit le risque de vol de clé privée de plus de 99,8%.
Comparez les chaînes de risque des deux approches :
- Pratique Dangereuse: Pool de Minage → Portefeuille Chaud d'Échange → Vous. Points de Risque : Piratages récents d'échanges, possibilité que votre compte d'échange soit piraté, gels réglementaires.
- Pratique Sûre: Pool de Minage → Votre Adresse Froide de Portefeuille Matériel → (Si Besoin) → Échange. Points de Risque : Presque uniquement les piratages de pools (mais vous pouvez choisir des réputés), ce qui est la cible de cet incident !
De plus, vérifiez régulièrement les paramètres de "seuil de paiement" et de "paiement automatique" de votre pool de minage. Pensez à vos récompenses de minage comme de l'or. Stockeriez-vous de l'or dans un "coffre-fort gratuit" sur un panneau d'affichage au bord de la route ? De même, les "portefeuilles à haut rendement" dans les publicités Facebook ne sont que des coffres-forts en carton. Passez 10 minutes chaque semaine à vérifier votre liste blanche d'adresses de portefeuille et assurez-vous que le micrologiciel de votre mineur passe la vérification SHA-256 (par exemple, en utilisant les outils de validation fournis par Bitmain). Rappelez-vous, dans le monde des cryptomonnaies, la prudence est la plus grande vertu.