Die Krypto-Malware Amos und Lumma wird über Reddit-Beiträge verbreitet

Die Krypto-Diebstahl-Malware Lumma und AMOS wurde kürzlich über Reddit-Beiträge verbreitet. Diese Beiträge zielen auf Windows- und Mac-Nutzer im Kryptobereich ab. 

Solche Beiträge nutzen verschiedene Taktiken, um Nutzer zum Herunterladen infizierter Software zu verleiten. Eine Masche kommt dabei besonders häufig vor: eine gecrackte Version von TradingView. 

Diese Betrüger treiben sich seit Kurzem in Krypto-Subreddits herum. Laut ihren Beiträgen ist die angeblich gecrackte Version von TradingView völlig kostenlos und stammt direkt von einer offiziellen Version. Die Betrüger behaupten, damit Premium-Funktionen wie erweiterte Charting-Tools für Aktien, Forex, Kryptowährungen und Rohstoffe freizuschalten. 

Malwarebytes stellte fest, dass sowohl die Windows- als auch die Mac-Dateien der infizierten Software doppelt gezippt sind. Die resultierende ZIP-Datei ist passwortgeschützt, was ungewöhnlich ist, da legitime ausführbare Dateien nicht auf diese Weise komprimiert werden. 

Laut Malwarebytes werden auf dem Mac Benutzerdaten durch eine POST-Anfrage an einen Server (45.140.13.244) auf den Seychellen exfiltriert.

Der Mac-Installer verwendet eine neuere AMOS-Variante. Diese ist ein beliebter Schadsoftware-Diebstahl für macOS und prüft, ob eine virtuelle Maschine vorhanden ist. Wird eine solche gefunden, beendet sich das Programm mit dem Fehlercode 42. 

Die Windows-Version lädt die Schadsoftware über eine verschleierte Batch-Datei, die ein bösartiges Skript ausführt. Malwarebytes hat die Windows-Version mit einem Host namens „cousidporke[.]icu“ in Verbindung gebracht, der vor einer Woche in Russland registriert wurde.