Согласно новому предупреждению от компании Malwarebytes, занимающейся вопросами кибербезопасности, криптовалютные трейдеры стали жертвами кампании по распространению вредоносного ПО через Reddit.
Атака распространяет вредоносные версии популярной торговой платформы TradingView. Она состоит из отдельных вариантов, предназначенных для компрометации систем Windows и Mac.
Операторы вредоносного ПО размещают сообщения в сабреддитах, посвященных криптовалютному трейдингу, предлагая якобы “взломанные” версии TradingView Premium, которые утверждают, что предоставляют бесплатный доступ к премиум-функциям.
Эти сообщения содержат ссылки на скачивание зараженных программных пакетов, содержащих Lumma Stealer для пользователей Windows и Atomic Stealer (AMOS) для пользователей Mac.
Это два мощных семейства вредоносных программ, предназначенных для кражи конфиденциальных данных с особым акцентом на криптовалютные кошельки.
Тактика социальной инженерии, используемая на Reddit
Хакеры разработали подход социальной инженерии на Reddit, где они не только создают первые посты, предлагающие “взломанное” программное обеспечение, но и активно общаются с потенциальными жертвами в ветках комментариев.
Это взаимодействие включает в себя успокаивающие ответы пользователям, которые выражают беспокойство по поводу безопасности.
В одном из примеров, приведенном Malwarebytes, когда была затронута тема безопасности, автор сообщения заметил, что “настоящий вирус на Mac был бы диким”.
Вредоносные загрузки размещались на одном из сайтов. Этот сайт принадлежал клининговой компании из Дубая, а не обычным файлообменным сервисам, таким как Mega.
Исследователи Malwarebytes отмечают, что такой необычный выбор может указывать на то, что злоумышленники взломали сайт или имеют над ним прямой контроль.
Это позволяет им “загружать и обновлять свой код непосредственно через сервер, который они контролируют”.
Еще один “красный флаг”, выявленный в кампании, – это способ распространения вредоносных файлов.
Версии для Windows и Mac распространяются в виде архивов с двойным zip-архивом и защитой паролем.
Новости криптовалют: Технический анализ раскрывает мощные возможности кражи данных
Анализ Malwarebytes обоих вариантов вредоносных программ показывает, что они были разработаны специально для пользователей криптовалют.
В версии для Mac используется новый вариант Atomic Stealer (AMOS). Он обладает дополнительными антианалитическими функциями, чтобы уклониться от обнаружения и помешать исследователям безопасности изучить его поведение.
Техническая экспертиза показала механизм утечки данных, используемый вредоносной программой Mac, которая отправляет украденную информацию через POST-запросы на сервер с IP-адресом 45.140.13.244, расположенный на Сейшельских островах.
Этот сервер, скорее всего, служит местом сбора собранных учетных данных, информации о кошельках и других конфиденциальных данных.
Варианты вредоносного ПО предназначены для кражи конфиденциальной информации с компьютера жертвы. Особое внимание уделяется учетным данным криптовалютных кошельков, приватным ключам и данным аутентификации.
Получив эту информацию, злоумышленники могут использовать ее для перевода средств из криптовалютных хранилищ жертвы на кошельки, находящиеся под их контролем.
Меры защиты и предупреждающие знаки для пользователей криптовалют
Malwarebytes указал несколько ключевых предупреждающих признаков, на которые должны обратить внимание криптовалютные трейдеры, чтобы не стать жертвой этой и подобных ей вредоносных кампаний.
Компания по кибербезопасности подчеркивает, что “взломанные программы могут содержать вредоносное ПО уже несколько десятилетий.
Тем не менее, очевидно, что соблазн бесплатного обеда все еще очень привлекателен” для многих пользователей.
Один из самых важных “красных флажков” – инструкции по отключению защитного ПО перед запуском программы.
Исследователи предупреждают пользователей, что никогда нельзя “отключать антивирус, который пытается Вас защитить”. Такая просьба почти всегда является признаком злого умысла.
Архивы, защищенные паролем, – еще один тревожный знак. Легальные распространители программного обеспечения иногда используют защиту паролем для специальных целей.
Однако в кампаниях по созданию вредоносных программ эта техника используется в основном для того, чтобы помешать сканерам безопасности проанализировать содержимое.
Оба варианта вредоносного ПО для Windows и Mac в этой кампании распространялись в архивах с двойной загрузкой, защищенных паролем, специально для того, чтобы обойти средства защиты.
