El malware criptográfico Amos y Lumma se distribuye a través de publicaciones de Reddit

El malware de robo de criptomonedas Lumma y AMOS se ha distribuido recientemente a través de publicaciones de Reddit. Estas publicaciones están dirigidas a usuarios de Windows y Mac del sector criptográfico. 

Estas publicaciones utilizan diversas tácticas para engañar al usuario y lograr que descargue software infectado. Sin embargo, una trampa se está volviendo particularmente común: una versión pirateada de TradingView. 

Estos estafadores han estado acechando recientemente en subreddits relacionados con criptomonedas. Según sus publicaciones, la supuesta versión pirateada de TradingView es totalmente gratuita y ha sido pirateada directamente de una versión oficial. Los estafadores afirman que desbloquearía funciones premium como herramientas avanzadas de gráficos para acciones, forex, criptomonedas y materias primas. 

Malwarebytes observó que los archivos de Windows y Mac del software infectado están comprimidos dos veces. El archivo zip final está protegido con contraseña, lo cual es inusual, ya que los archivos ejecutables legítimos no están comprimidos de esa manera. 

Según Malwarebytes, en Mac, los datos del usuario se filtran a través de una solicitud POST a un servidor (45.140.13.244) alojado en Seychelles.

El instalador de Mac incluye una variante más reciente de AMOS. Es un programa ladrón popular para macOS que comprueba la presencia de una máquina virtual. Si se detecta, el programa existe con el código de error 42. 

La versión de Windows carga la carga útil mediante un archivo bat ofuscado que ejecuta un script malicioso. Malwarebytes vinculó la versión de Windows a un host 'cousidporke[.]icu' registrado en Rusia hace una semana.