Эксперты Malwarebytes обнаружили новую мошенническую схему, нацеленную на криптотрейдеров. Злоумышленники через Reddit предлагают «взломанную» версию TradingView Premium, скрывая в ней вредоносные программы Lumma Stealer и Atomic Stealer (AMOS).
Сообщается, что посты размещаются в популярных криптовалютных субреддитах и содержат ссылки на файлы для Windows и macOS. Обещая бесплатный доступ к расширенным функциям TradingView, мошенники заманивают пользователей, после чего вредоносный код крадет личные данные и доступ к криптокошелькам.
Злоумышленники ведут активные обсуждения в комментариях [1, 2], подбадривая жертв установить «крякнутый» софт. Файлы загружаются с компрометированного сервера в Дубае, замаскированного под сайт клининговой компании.
Основные признаки вредоносного ПО:
- Файлы упакованы в двойной ZIP-архив и защищены паролем.
- Установка требует отключения антивируса.
- Файлы распространяются через подозрительные сайты.
На Mac устанавливается обновленный вариант AMOS, который проверяет, запущен ли софт в виртуальной среде. Если обнаружена VM, программа завершает работу с кодом ошибки 42, избегая детектирования.
На Windows загружается вредоносный BAT-файл (Costs.tiff.bat), который активирует зашифрованный скрипт AutoIt (Sad.com). Затем программа передает пользовательские данные на сервер в Сейшелах (45.140.13.244), а сам командный центр домена cousidporke[.]icu зарегистрирован недавно и связан с Россией.
Какие данные крадут:
- Логины и пароли.
- Содержимое буфера обмена.
- Файлы на компьютере.
- Доступ к криптовалютным кошелькам.
Пострадавшие сообщают, что после установки поддельного TradingView их кошельки оказались пустыми. Более того, злоумышленники используют похищенные аккаунты для распространения фишинговых ссылок среди контактов жертв.
Как защититься:
- Не отключайте антивирус, если установка требует этого.
- Не скачивайте файлы с неизвестных сайтов.
- Избегайте программ, которые запаролены архивами.
- Доверяйте только официальным источникам.
Microsoft: новый троян StilachiRAT атакует криптокошельки
Мошеннические схемы с криптовалютой становятся все более изощренными. Ранее Microsoft предупредила о StilachiRAT — вирусе, который заражает Google Chrome и похищает данные из MetaMask, Coinbase Wallet, Trust Wallet, OKX Wallet, Bitget Wallet, Phantom и других криптовалютных расширений.
Эксперты подчеркивают: мошенники активно охотятся на трейдеров, поэтому важно соблюдать кибербезопасность и загружать ПО только с проверенных ресурсов.
Данный пост носит исключительно информационный характер и не является рекламой или инвестиционным советом. Пожалуйста, проводите собственное исследование, принимая какие-либо решения.
