Des escrocs partagent des liens vers ce qu’ils présentent comme «TradingView Premium Cracked» pour Windows ou Mac sur Reddit. Selon MalwareBytes, ces fichiers contiennent des logiciels malveillants qui visent les portefeuilles cryptographiques et siphonnent les jetons. Les arnaqueurs prétendent que la version piratée de TradingView donne accès à des fonctionnalités premium, un attrait pour les investisseurs en cryptomonnaies qui sont friands d’analyses graphiques et d’indicateurs avancés.
Les escrocs assurent que le logiciel Crack provient des fichiers d’origine, mais intègre deux programmes malveillants, Lumma et Atomic. Lumma, un projet lancé en 2022, cible les portefeuilles de cryptomonnaie, propose une authentification à deux facteurs, et vise à dérober des informations sensibles. Atomic, découvert en 2023, est un ensemble de logiciels malveillants omniprésents dont l’objectif est de récupérer les mots de passe administratifs et autres identifiants.
Le fichier piraté est compressé en double, le second fichier zippé étant protégé par un mot de passe. Cela devrait déjà être un signal d’alarme, car il n’est pas habituel d’ajouter une telle protection sauf pour dissimuler quelque chose d’un logiciel antivirus. L’installateur est un package malveillant bien connu, AMOS (Atomic Stealer), pour la version Mac. Ce dernier s’assure d’être en dehors d’un environnement de test pour ne pas être détecté par des chercheurs en sécurité.
AMOS s’attaque alors pour voler des données sensibles après avoir vérifié qu’il n’est pas dans un bac à sable. Il envoie les données vers un serveur situé aux Seychelles à l’adresse 45.140.13.x.
Les fichiers malveillants sont hébergés sur le site Web d’une société de nettoyage basée à Dubaï, ce qui indique que les attaquants ont probablement compromis le site, car ils auraient pu choisir un autre hébergement. Le site utilise une version PHP obsolète, la 7.3.33, devenue vulnérable depuis décembre 2021, offrant ainsi une cible facile pour le lancement de leur campagne de logiciels malveillants contre les détenteurs de cryptomonnaies.
La version pour Windows extrait les informations via un fichier BAT, Cost.tiff.bat. Elle assemble un exécutable à partir de multiples fragments de fichiers, contournant ainsi les détections des antivirus automatiques, et communique avec un centre de commandement localisé sur un domaine enregistré récemment en Russie, Cousidporke Dot ICU.
Les escrocs partagent les liens malveillants sur Reddit tout en restant disponibles pour aider les utilisateurs dans l’installation du logiciel. Ce soutien constant peut rassurer de nombreuses victimes, renforçant ainsi une impression de sécurité. Il semblerait que cette campagne soit particulièrement dédiée à la diffusion de ces malwares, car l’objectif se concentre sur les portefeuilles de cryptomonnaies, ce qui permettrait aux attaquants de potentiellement siphonner des millions de dollars.
Source : https://zycrypto.com/tradingview-premium-cracked-malware-targets-crypto-wallets-on-windows-and-mac/
Résumé : Des logiciels malveillants déguisés en version piratée de TradingView visent les portefeuilles de cryptomonnaie sur Windows et Mac. Ces attaques sophistiquées exploitent la popularité de l’outil pour siphonner les fonds des investisseurs en ligne. Il est crucial de rester vigilant face à ces menaces et d’éviter de télécharger des logiciels de sources non vérifiées.
Merci
Ok