Os golpistas estão a publicar links para o que descrevem como “TradingView Premium Cracked” para Windows ou Mac e a partilhar os links no Reddit. De acordo com a Malwarebytes, os ficheiros contêm malware que visa carteiras de criptomoedas e drena tokens. Os golpistas afirmam que a versão crackeada do TradingView permite o acesso a funcionalidades restritas, uma isca atrativa para investidores de criptomoedas que costumam desfrutar de navegar pelos gráficos e aceder a indicadores avançados.
Os criminosos alegam que o software pirateado foi originado diretamente dos ficheiros originais, mas contém dois programas de malware, Lumma e Atomic. O Lumma, um projeto iniciado em 2022, tem como alvo carteiras de criptomoedas, possui autenticação de dois fatores e se concentra no roubo de informações. O Atomic, um projeto descoberto em 2023, é um pacote de malware que anda à solta na natureza sabe-se lá quando. É notório por descobrir senhas e credenciais administrativas.
O ficheiro crackeado está comprimido duas vezes, com o segundo zip a conter uma palavra-passe. Isto deve já ser um sinal de alerta, pois não há necessidade de comprimir o ficheiro duas vezes a menos que alguém esteja a esconder algo de um scanner automatizado. O instalador é um popular pacote de malware chamado AMOS (Atomic Stealer) com a versão para Mac. O instalador verifica se está numa sandbox para evitar a deteção por investigadores de malware.
O AMOS prossegue então para roubar dados sensíveis após verificar se há um sandbox. Ele envia o pacote via uma solicitação POST para um servidor localizado nas Seychelles no endereço 45.140.13.x
Os arquivos de malware estão hospedados no site de uma empresa de limpeza com sede em Dubai, sugerindo que os atacantes tomaram o controle do site, dado que poderiam ter escolhido outro servidor para seus arquivos. O site tem uma versão desatualizada do PHP, 7.3.33, que se tornou vulnerável em dezembro de 2021, proporcionando aos atacantes um alvo fácil para hospedar seus arquivos e lançar uma campanha de malware contra detentores de criptomoeda.
A versão Windows extrai informações usando um arquivo BAT, costs.tiff.bat. Ela monta um executável a partir de numerosos fragmentos de arquivos, ofusca ataques automáticos de scanners de vírus e comunica-se com um centro de comando e controle em cousidporke dot icu, um domínio registrado na Rússia há apenas uma semana.
Os criminosos publicam os links de malware no Reddit e, em seguida, ficam por perto para ajudar as pessoas a instalar o software. Muitas vítimas de ataques podem se sentir mais seguras devido ao apoio constante oferecido no Reddit. Esta parece ser uma campanha muito dedicada para espalhar o malware. No entanto, como o alvo é uma carteira de criptomoedas, o esforço parece valer a pena porque os atacantes estão potencialmente ganhando milhões de dólares em fundos roubados.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
