I malware crittografici Amos e Lumma vengono distribuiti tramite post su Reddit

I malware Lumma e AMOS, che rubano criptovalute, sono stati recentemente diffusi tramite post su Reddit. Questi post sono rivolti agli utenti Windows e Mac del settore crypto. 

Questi post utilizzano varie tattiche per indurre l'utente a scaricare software infetto. Tuttavia, un'esca sta diventando particolarmente comune: una versione craccata di TradingView. 

Questi truffatori si sono recentemente insinuati nei subreddit dedicati alle criptovalute. Secondo i loro post, la cosiddetta versione craccata di TradingView è totalmente gratuita, ed è stata craccata direttamente da una versione ufficiale. I truffatori sostengono che sbloccherebbe funzionalità premium come strumenti grafici avanzati per azioni, forex, criptovalute e materie prime. 

Malwarebytes ha notato che sia i file Windows che quelli Mac del software infetto sono compressi in una doppia zip. Il file zip finale è protetto da password, il che è insolito, poiché i file eseguibili legittimi non vengono compressi in questo modo. 

Secondo Malwarebytes, su Mac i dati degli utenti vengono esfiltrati tramite una richiesta POST a un server (45.140.13.244) ospitato alle Seychelles.

L'installer per Mac presenta una variante più recente di AMOS. Si tratta di un popolare programma stealer per macOS che verifica la presenza di una macchina virtuale. Se rilevata, il programma presenta il codice di errore 42. 

La versione per Windows carica il payload tramite un file bat offuscato che esegue uno script dannoso. Malwarebytes ha collegato la versione per Windows a un host 'cousidporke[.]icu' registrato in Russia una settimana fa.