Les logiciels malveillants de type cryptographique Amos et Lumma sont distribués via des publications Reddit

Les logiciels malveillants Lumma et AMOS, utilisés pour le vol de cryptomonnaies, ont récemment été diffusés via des publications sur Reddit. Ces publications ciblent les utilisateurs Windows et Mac du secteur des cryptomonnaies. 

Ces publications utilisent diverses tactiques pour inciter l'utilisateur à télécharger des logiciels infectés. Cependant, un appât devient particulièrement courant : une version piratée de TradingView. 

Ces escrocs sévissent depuis peu sur les forums Reddit dédiés aux cryptomonnaies. D'après leurs publications, la version prétendument piratée de TradingView est totalement gratuite et aurait été extraite directement d'une version officielle. Ils affirment qu'elle permettrait d'accéder à des fonctionnalités premium, comme des outils graphiques avancés pour les actions, le forex, les cryptomonnaies et les matières premières. 

Malwarebytes a constaté que les fichiers Windows et Mac du logiciel infecté sont compressés deux fois. Le fichier zip final est protégé par un mot de passe, ce qui est inhabituel, car les fichiers exécutables légitimes ne sont pas compressés de cette manière. 

Selon Malwarebytes, sur Mac, les données de l'utilisateur sont exfiltrées via une requête POST vers un serveur (45.140.13.244) hébergé aux Seychelles.

Le programme d'installation pour Mac utilise une version plus récente d'AMOS. Ce logiciel malveillant, souvent utilisé pour s'introduire dans macOS, vérifie la présence d'une machine virtuelle. Si une machine virtuelle est détectée, le programme se ferme avec le code d'erreur 42. 

La version Windows charge le logiciel malveillant via un fichier .bat obfusqué qui exécute un script malveillant. Malwarebytes a établi un lien entre cette version Windows et un serveur « cousidporke[.]icu » enregistré en Russie il y a une semaine.