I truffatori pubblicano collegamenti a ciò che descrivono come "TradingView Premium Cracked" per Windows o Mac e condividono i collegamenti su Reddit. Secondo Malwarebytes, i file contengono malware che prende di mira i portafogli crittografici e drena i token. I truffatori sostengono che la versione crackata di TradingView consente l'accesso a funzionalità limitate, un'esca allettante per gli investitori in criptovalute che spesso si divertono a sfogliare i grafici e ad accedere a indicatori avanzati.
I truffatori affermano che il software crackato proveniva direttamente dai file originali ma contiene due programmi malware, Lumma e Atomic. Lumma, un progetto avviato nel 2022, prende di mira i portafogli crittografici, prevede l'autenticazione a due fattori e si concentra sul furto di informazioni. Atomic, un progetto scoperto nel 2023, è un pacchetto malware che vaga in giro da chissà quando. È noto per scoprire password e credenziali amministrative.
Il file crackato è compresso due volte, con il secondo zip contenente una password. Questo dovrebbe già essere un campanello d'allarme perché non è necessario comprimere due volte il file a meno che non si stia nascondendo qualcosa da uno scanner automatizzato. Il programma di installazione è un popolare pacchetto malware chiamato AMOS (Atomic Stealer) con la versione per Mac. Il programma di installazione controlla se si trova in una sandbox per evitare il rilevamento da parte dei ricercatori di malware.
AMOS procede quindi al furto dei dati sensibili dopo aver verificato se esiste una sandbox. Invia il pacco tramite richiesta POST ad un server situato alle Seychelles all'indirizzo 45.140.13.x.
I file malware sono ospitati sul sito web di un'impresa di pulizie con sede a Dubai, suggerendo che gli aggressori hanno preso il controllo del sito, dato che avrebbero potuto scegliere un altro server per i loro file. Il sito Web ha una versione PHP obsoleta, la 7.3.33, che è diventata vulnerabile nel dicembre 2021, fornendo agli aggressori un facile bersaglio per ospitare i propri file e lanciare una campagna malware contro i detentori di criptovaluta.
La versione Windows estrae le informazioni utilizzando un file BAT, costs.tiff.bat. Assembla un eseguibile da numerosi frammenti di file, offusca gli attacchi automatici degli scanner antivirus e comunica con un centro di comando e controllo presso cousidporke dot icu, un dominio registrato in Russia solo una settimana fa.
I truffatori pubblicano i collegamenti del malware su Reddit e poi restano per aiutare le persone a installare il software. Molte vittime di attacchi potrebbero sentirsi più sicure grazie al supporto costante offerto su Reddit. Questa sembra essere una campagna molto dedicata alla diffusione del malware. Tuttavia, poiché l’obiettivo è un portafoglio di criptovaluta, lo sforzo sembra valere la pena perché gli aggressori stanno potenzialmente guadagnando milioni di dollari con i fondi rubati.