Facebookgebruikers zijn gewaarschuwd voor zogenaamde kortingsbonnen van McDonalds die via het platform worden aangeboden. In plaats van een korting op een Big Mac wacht er een infectie met bankmalware die gegevens voor internetbankieren onderschept. Dat meldt antivirusbedrijf ESET.

De advertenties met de nepkortingsbonnen richten zich vooralsnog alleen op Braziliaanse en Mexicaanse Facebookgebruikers. Zodra gebruikers op de advertenties klikken worden ze doorgestuurd naar een website waar de "kortingsbonnen" zijn te downloaden. In werkelijkheid wordt er een MSI-bestand aangeboden dat de uiteindelijke malware downloadt en installeert. De malware verzamelt allerlei informatie over het systeem en steelt wachtwoorden uit browsers zoals Google Chrome, Mozilla Firefox en Internet Explorer, en e-mailclients zoals Microsoft Outlook, Mozilla Thunderbird en Windows Live Mail.

Verder vervangt de malware gekopieerde bitcoinadressen in het clipboard om zo cryptovaluta te stelen. Gebruikers van cryptovaluta die een betaling willen doen of geld naar een andere wallet willen overmaken kopiëren hiervoor vaak het walletadres van de begunstigde en plakken dat vervolgens in een veld op de transactiepagina. Op dat moment bevindt het adres zich in het clipboard van de computer. De nu ontdekte malware verandert het gekopieerde adres in dat van de aanvaller. Verder kan de malware ook toetsaanslagen opslaan.

Voor de advertenties die Braziliaanse Facebookgebruikers te zien kregen maakten de aanvallers gebruik van de Tiny.CC url-verkorter. Deze url-verkorter houdt het aantal clicks bij. Onderzoekers van ESET konden zo achterhalen dat alleen de Braziliaanse advertentiecampagne bijna 100.000 clicks had opgeleverd. Dit zegt echter nog niets over het aantal infecties.