Os malwares criptográficos Amos e Lumma estão sendo distribuídos por meio de postagens no Reddit

Os malwares Lumma e AMOS, que roubam criptomoedas, foram recentemente distribuídos por meio de postagens no Reddit. Essas postagens têm como alvo usuários de Windows e Mac na área de criptomoedas. 

Essas postagens usam várias táticas para enganar o usuário e levá-lo a baixar software infectado. No entanto, uma isca está se tornando particularmente comum: uma versão pirata do TradingView. 

Esses golpistas têm aparecido recentemente em subreddits relacionados a criptomoedas. De acordo com suas postagens, a suposta versão crackeada do TradingView é totalmente gratuita e foi obtida diretamente de uma versão oficial. Os golpistas afirmam que ela desbloqueia recursos premium, como ferramentas avançadas de gráficos para ações, forex, criptomoedas e commodities. 

A Malwarebytes observou que tanto os arquivos para Windows quanto para Mac do software infectado estão compactados duas vezes em um arquivo ZIP. O arquivo ZIP final é protegido por senha, o que é incomum, já que arquivos executáveis ​​legítimos não são compactados dessa forma. 

Segundo a Malwarebytes, no Mac, os dados do usuário são exfiltrados por meio de uma solicitação POST para um servidor (45.140.13.244) hospedado nas Seychelles.

O instalador do Mac apresenta uma variante mais recente do AMOS. Trata-se de um programa conhecido por roubar softwares do macOS e que verifica a presença de uma máquina virtual. Se detectada, o programa é encerrado com o código de erro 42. 

A versão para Windows carrega o payload por meio de um arquivo .bat ofuscado que executa um script malicioso. A Malwarebytes associou a versão para Windows a um host 'cousidporke[.]icu' registrado na Rússia há uma semana.