Новая афера на Reddit заражает пользователей вредоносным ПО, крадущим криптовалюту через поддельное торговое программное обеспечение

Эксперты в области кибербезопасности обнаружили новую волну вредоносного ПО, крадущего криптовалюту, которое распространяется через Reddit, целью которого являются пользователи TradingView, популярной платформы для анализа финансового рынка.

Преступники завлекают жертв обещаниями бесплатного доступа к премиальным функциям TradingView, но загрузки заражены вредоносным программным обеспечением, разработанным для кражи криптовалюты.

Согласно информации кибербезопасной компании Malwarebytes Labs, злоумышленники размещают ссылки в сообществах Reddit, которые часто посещают трейдеры криптовалют.

Эти ссылки ведут к зараженным установщикам для Windows и Mac, которые содержат Lumma Stealer и новый вариант Atomic Stealer (AMOS), соответственно. Оба типа вредоносного ПО известны своей способностью крадать криптоактивы, что позволяет преступникам получать значительную прибыль.

В отличие от предыдущих атак, которые использовали поддельные страницы Reddit, эта кампания проводится на официальной платформе Reddit. Мошенники утверждают, что предлагают взломанную версию TradingView, предупреждая пользователей, что они устанавливают её «на свой страх и риск».

В одном из сообщений они написали: «Мы не просто пункт сброса — мы создаем хаб для трейдеров, которые ищут бесплатные инструменты и качественные чаты. Этот взломанный TradingView — это только начало», как сообщает Cybernews

Для успокоения жертв, преступники отвечают на опасения относительно предупреждений о безопасности Mac, заявляя: «Не волнуйтесь, ведь настоящий вирус на Mac был бы шокирующим, и я никогда не видела, чтобы он просочился таким образом!» Они предоставляют инструкции по обходу этих предупреждений, еще больше втягивая ничего не подозревающих пользователей, как сообщает Cybernews.

После установки, вредоносное ПО собирает конфиденциальные данные пользователя и отправляет их на удаленный сервер. Жертвы сообщали о том, что их криптовалютные кошельки были опустошены, а некоторые из них впоследствии были подделаны злоумышленниками, которые использовали их идентичность для отправки фишинговых ссылок другим.

Хотя точный масштаб убытков остается неясным, схема подчеркивает риски загрузки взломанного программного обеспечения.

Дальнейшее расследование показало, что файлы вредоносного программного обеспечения размещены на сайте клининговой компании из Дубая.

«Файлы для Mac и Windows упакованы в двойные zip-архивы, причем последний архив защищен паролем. Для сравнения, законный исполняемый файл не требует распространения таким образом,» — пояснили исследователи.

«Взломанное программное обеспечение уже десятилетиями склонно к содержанию вредоносного ПО, но очевидно, что привлекательность бесплатного обеда по-прежнему очень велика,» — заключили исследователи.

Они рекомендовали пользователям избегать отключения защитного программного обеспечения, загрузки файлов, защищенных паролем, или доверия сомнительным платформам. Этот инцидент служит жестким напоминанием о необходимости оставаться бдительными в интернете, особенно когда предложения кажутся слишком привлекательными, чтобы быть правдивыми.