Il malware Lumma e AMOS per il furto di criptovalute è stato recentemente distribuito tramite post su Reddit. Questi post sono rivolti agli utenti Windows e Mac nel settore delle criptovalute.
Tali post utilizzano varie tattiche per indurre l'utente a scaricare software infetto. Tuttavia, un’esca sta diventando particolarmente comune: una versione crackata di TradingView.
Questi truffatori sono stati recentemente in agguato nei subreddit legati alle criptovalute. Secondo i loro post, la cosiddetta versione crackata di TradingView è totalmente gratuita ed è stata crackata direttamente da una versione ufficiale. I truffatori affermano che sbloccherebbe funzionalità premium come strumenti grafici avanzati per azioni, forex, criptovalute e materie prime.
Malwarebytes ha notato che sia i file Windows che quelli Mac del software infetto sono compressi con doppia zip. Il file zip finale è protetto da password, il che è insolito, poiché i file eseguibili legittimi non vengono compressi in questo modo.
Secondo Malwarebytes, su Mac, i dati dell'utente vengono esfiltrati tramite una richiesta POST su un server (45.140.13.244) ospitato alle Seychelles.
Il programma di installazione per Mac presenta una variante AMOS più recente. È un popolare ladro per macOS e verifica la presenza di una macchina virtuale. Se rilevato, il programma esiste con il codice di errore 42.
La versione Windows carica il payload tramite un file bat offuscato che esegue uno script dannoso. Malwarebytes ha collegato la versione Windows a un host "cousidporke[.]icu" registrato in Russia una settimana fa.
Cryptopolitan Academy: vuoi far crescere i tuoi soldi nel 2025? Scopri come farlo con la DeFi nella nostra prossima webclass. Salva il tuo posto