Una nuova minaccia sta emergendo dagli hacker che diffondono software pericoloso agli utenti Reddit che cercano strumenti di trading gratuiti. Malwarebytes, una società di sicurezza informatica, ha segnalato che i truffatori hanno installato malware in versioni fasulle "cracked" di TradingView Premium. Questo malware ha il potenziale per rubare informazioni personali e svuotare portafogli crittografici. Jerome Segura, ricercatore senior sulla sicurezza di Malwarebytes, ha lanciato l'avvertimento in un post sul blog il 18 marzo.
Le vittime perdono criptovalute e la loro identità viene rubata
Segura ha riferito che le vittime avevano i loro portafogli crittografici esauriti e successivamente venivano impersonate da criminali che inviavano collegamenti di phishing ai loro contatti. L'attacco utilizza una doppia minaccia, in cui due distinti programmi malware, Lumma Stealer e Atomic Stealer, collaborano per infiltrarsi nei computer delle vittime.
Atomic, che ha iniziato a funzionare nell'aprile 2023, si rivolge alle credenziali di amministratore e portachiavi, mentre Lumma è operativo dal 2022 e si concentra sui portafogli di criptovaluta e sulle estensioni del browser per l'autenticazione a due fattori.
Gli info stealer di AMOS e Lumma sono stati recentemente distribuiti tramite post Reddit destinati agli utenti Mac e Windows nel settore delle criptovalute, prosciugando i loro portafogli e rubando dati personali. Una delle esche più comuni è una versione crackata della popolare piattaforma di trading TradingView.
— Malwarebytes (@Malwarebytes) 19 marzo 2025
I truffatori si comportano in modo utile mentre diffondono malware
Il modo in cui gli autori interagiscono con le potenziali vittime è ciò che distingue questa truffa. I truffatori sono presenti sui subreddit di criptovaluta, dove pubblicano collegamenti a quelle che sostengono siano versioni "cracked" gratuite di software di grafica finanziaria premium sia per Windows che per Mac.
Segura ha osservato nel post sul blog che il coinvolgimento dell'utente originale nel thread è intrigante, poiché sono "utili" per gli utenti che chiedono domande o segnalano un problema. Questo ulteriore sforzo per apparire legittimi è determinante nel persuadere un numero maggiore di persone a ottenere i file pericolosi.
I segnali di allarme indicano software dannoso
Secondo l'analisi di Malwarebytes, i file infetti presentano segnali di allarme distinti di cui gli utenti dovrebbero essere a conoscenza. Il software legittimo non utilizza il metodo di distribuzione di file con doppia zip protetti da password, come nel caso del malware.
Un altro campanello d'allarme significativo è che i truffatori spesso richiedono agli utenti di disattivare il proprio software di sicurezza per poter eseguire il programma. Gli utili commenti di chi ha pubblicato oscurano la dichiarazione di non responsabilità secondo cui gli utenti scaricano a proprio rischio, nonostante il post lo riconosca.
Il crimine crittografico diventa più professionale
Nel frattempo, le tracce dell'attacco portano a luoghi inaspettati. Malwarebytes ha scoperto che il malware era ospitato su un sito web di proprietà di un'impresa di pulizie a Dubai, mentre il server di comando e controllo era registrato in Russia circa una settimana fa.
Il Crypto Crime Report 2025 di Chainalysis descrive un modello più ampio in cui il crimine crittografico è "entrato in un'era professionalizzata dominata da schemi guidati dall'intelligenza artificiale, riciclaggio di stablecoin e sindacati informatici efficienti". Questa truffa fa parte di questo schema. Il rapporto ha rivelato che le transazioni illecite di criptovaluta hanno raggiunto oltre 50 miliardi di dollari l’anno precedente.
Immagine in primo piano di Gemini Imagen, grafico di TradingView