Компания Malwarebytes, специализирующаяся на кибербезопасности, обнаружила новую форму вредоносного ПО, замаскированного под взломанную версию TradingView Premium. Как оказалось, мошенники активно орудуют на криптовалютных ветках Reddit, где размещают ссылки на установщики Windows и Mac для якобы «взломанного» TradingView Premium. «У нас есть информация о пострадавших, чьи криптокошельки были опустошены. Более того, преступники выдавали себя за этих… Сообщение Фальшивый TradingView Premium: мошенники опустошают криптокошельки доверчивых пользователей появились сначала на Hash Telegraph.
Компания Malwarebytes, специализирующаяся на кибербезопасности, обнаружила новую форму вредоносного ПО, замаскированного под взломанную версию TradingView Premium. Как оказалось, мошенники активно орудуют на криптовалютных ветках Reddit, где размещают ссылки на установщики Windows и Mac для якобы «взломанного» TradingView Premium.
«У нас есть информация о пострадавших, чьи криптокошельки были опустошены. Более того, преступники выдавали себя за этих пользователей и рассылали фишинговые ссылки», — сообщил Джером Сегура (Jerome Segura), старший исследователь безопасности в Malwarebytes, в своем блоге 18 марта.
Мошенники утверждают, что программы полностью бесплатны и взломаны прямо из официальной версии, разблокируя все премиум-функции. Но на самом деле код напичкан сразу двумя вредоносными программами: Lumma Stealer и Atomic Stealer.
Lumma Stealer — похититель информации, который существует с 2022 года и в первую очередь нацелен на криптовалютные кошельки и браузерные расширения двухфакторной аутентификации (2FA). Atomic Stealer впервые был обнаружен в апреле 2023 года и известен своей способностью захватывать такие данные, как пароли администратора и связки ключей.
Помимо «взломанного» TradingView Premium, мошенники предлагают и другие фальшивые торговые программы, чтобы заманить крипто-трейдеров на Reddit.
Интересная деталь этой схемы — мошенники не просто размещают вредоносные ссылки и исчезают. Они активно участвуют в обсуждениях, помогая пользователям загрузить вредоносное ПО и устранить любые проблемы с загрузкой.
«Что интересно в этой конкретной схеме, так это насколько вовлечен автор первоначального поста. Он просматривает ветку обсуждения и ’помогает‘ пользователям, которые задают вопросы или сообщают о проблемах», — отметил Сегура.
Происхождение вредоносного ПО не было точно установлено, но Malwarebytes обнаружила, что веб-сайт, на котором размещены файлы, принадлежит клининговой компании из Дубая, а сервер управления вредоносным ПО был зарегистрирован кем-то в России примерно неделю назад.
Сегура отмечает, что взломанное программное обеспечение уже десятилетиями содержит вредоносные программы, но «соблазн бесплатного обеда все еще очень привлекателен».
По данным Malwarebytes, распространенные признаки таких мошенничеств включают:
В данном случае Сегура отмечает: «Файлы дважды заархивированы, при этом последний архив защищен паролем. Для сравнения, легитимному исполняемому файлу не нужно распространяться таким образом».
Будьте бдительны и помните: когда предложение звучит слишком хорошо, чтобы быть правдой, оно обычно таковым не является. Особенно если речь идет о «взломанном» премиум-софте.
Самые интересные и важные новости на нашем канале в Telegram
Сообщение Фальшивый TradingView Premium: мошенники опустошают криптокошельки доверчивых пользователей появились сначала на Hash Telegraph.
JOIN
