Експерти з Malwarebytes виявили, що кіберзлочинці рекламують підроблену версію TradingView Premium, яка містить шкідливе програмне забезпечення, здатне витягувати особисту інформацію та криптовалюту користувачів.
«Ми зіткнулися з жертвами, чиї криптовалютні гаманці були злиті, після чого зловмисники надсилали фішингові посилання, видаючи себе за них», — заявив Джером Сегура, старший дослідник безпеки компанії.
Він зазначив, що ці скомпрометовані інсталяційні файли поширюються на криптовалютних форумах на Reddit, маскуючись під «безкоштовну» зламану версію законної програми TradingView, яка використовується для фінансових графіків.
Знімок екрана допису Reddit із посиланнями на зловмисне програмне забезпечення. Джерело: Malwarebytes.
Під час дискусій на Reddit зловмисники стверджували, що програмне забезпечення сумісне як з Mac, так і з Windows і має «всі преміум-функції». Вони також запропонували «технічну допомогу» деяким особам, які його встановили.
Джерело: Malwarebytes.
В одному випадку ймовірний хакер порадив користувачеві ігнорувати попередження MacOS, позначивши це як «надмірну обережність Apple» у відповідь на підроблену версію програми без відповідних цифрових підписів.
«Не хвилюйтеся, справжній вірус Mac набагато серйозніший; я ніколи не бачив, щоб вони так обходили захист», — заспокоїли трейдера на Reddit.
Згідно з висновками Malwarebytes, надані зловмисниками файли включали шкідливі програми Lumma Stealer і Atomic Stealer. Перший — це інструмент для крадіжки інформації, спрямований на компрометацію криптовалютних гаманців і даних двофакторної аутентифікації в браузерах. Останнього з 2023 року визнають злодієм за паролі, що зберігаються в операційній системі.
Інсталяційні пакети були розміщені на сервері клінінгової компанії в Дубаї, а сервер керування був «зареєстрований фізичною особою з Російської Федерації».
Експерти відзначають, що шкідливі файли часто поширюються через такі «безкоштовні» версії ліцензійного програмного забезпечення, і радять бути обережними щодо таких пропозицій.
Варто відзначити, що в березні дослідники Microsoft Incident Response виявили новий троян віддаленого доступу StilachiRAT, призначений для крадіжки криптовалют і облікових даних користувачів.
