Новый троян для кражи криптовалюты распространяется через взломанную версию TradingView
Компания по кибербезопасности Malwarebytes предупредила о новой форме вредоносного ПО для кражи криптовалюты, скрытого в "взломанной" версии TradingView Premium, программного обеспечения, предоставляющего инструменты для построения графиков для финансовых рынков.
Мошенники скрываются на криптовалютных субреддитах, размещая ссылки на установочные файлы для Windows и Mac "TradingView Premium Cracked", которые заражены вредоносным ПО, направленным на кражу личных данных и опустошение криптокошельков, сообщил Жером Сегура, старший научный сотрудник по безопасности в Malwarebytes, в своем блоге 18 марта.
«Мы слышали о жертвах, чьи криптокошельки были опустошены, а затем имитированы преступниками, которые отправляли фишинговые ссылки их контактам», добавил он.
Мошенники утверждают, что программы бесплатны и взломаны непосредственно из официальной версии, но на самом деле они полны вредоносных программ. Источник: Malwarebytes
В рамках уловки мошенники утверждают, что программы бесплатны и взломаны непосредственно из официальной версии, открывая премиум-функции. На самом деле они содержат две программы-вредоносные – Lumma Stealer и Atomic Stealer.
Lumma Stealer – это программа для кражи информации, существующая с 2022 года и ориентированная в первую очередь на криптовалютные кошельки и браузерные расширения для двухфакторной аутентификации (2FA). Atomic Stealer был впервые обнаружен в апреле 2023 года и известен своей способностью захватывать данные, такие как пароли администратора и ключевые цепочки.
Кроме "TradingView Premium Cracked", мошенники предлагали другие мошеннические торговые программы, чтобы атаковать криптотрейдеров на Reddit.
Сегура отметил, что одна из интересных особенностей схемы состоит в том, что мошенник также тратит время на помощь пользователям в загрузке ПО со вредоносными программами и решении любых проблем с загрузкой.
«Интересно в этой схеме то, как вовлечен первоначальный постер, помогая пользователям, задающим вопросы или сообщающим о проблемах», – сказал Сегура.
«Хотя первичное сообщение предупреждает о том, что вы устанавливаете эти файлы на свой страх и риск, дальше в нити мы можем прочитать комментарии от первоначального постера».
В этом случае мошенник остается, чтобы помочь пользователям загрузить ПО со вредоносными программами. Источник: Malwarebytes
Происхождение вредоносного ПО было неясным, но Malwarebytes обнаружила, что веб-сайт, размещающий файлы, принадлежал дубайской компании по чистке, а сервер управления и контроля за вредоносным ПО был зарегистрирован кем-то из России примерно неделю назад.
Сегура утверждает, что взломанное программное обеспечение склонно содержать вредоносные программы в течение десятилетий, но «соблазн бесплатного обеда все еще очень привлекателен».
Обычные красные флажки, на которые следует обратить внимание при этих типах мошенничества, включают инструкции по отключению программного обеспечения безопасности, чтобы программа могла работать, и файлы, защищенные паролем, согласно данным Malwarebytes.
В данном случае, по словам Сегуры, «файлы двойной упаковки, с конечной упаковкой, защищенной паролем. Для сравнения, законный исполняемый файл не нуждается в распространении таким образом».
Компания по анализу блокчейна Chainalysis сообщила в своем Отчете о преступлениях в криптовалюте за 2025 год, что преступность в сфере криптовалюты вошла в эпоху профессионализации, где доминируют мошенничества на основе ИИ, отмывание стейблкоинов и эффективные киберсиндикаты. В прошлом году аналитическая компания оценивает объем незаконных транзакций в 51 миллиард долларов.