Криптовирусы Amos и Lumma распространяются через сообщения на Reddit

Недавно через сообщения на Reddit распространилось вредоносное ПО Lumma и AMOS, предназначенное для кражи криптовалюты. Эти сообщения нацелены на пользователей Windows и Mac, работающих в криптопространстве. 

В подобных сообщениях используются различные тактики, чтобы обманом заставить пользователя загрузить зараженное программное обеспечение. Однако одна из таких приманок становится особенно распространенной – взломанная версия TradingView. 

В последнее время мошенники скрываются на сабреддитах, посвященных криптовалютам. Согласно их сообщениям, так называемая взломанная версия TradingView совершенно бесплатна и создана путем прямого взлома официальной версии. Мошенники утверждают, что она разблокирует премиум-функции, такие как расширенные инструменты построения графиков для акций, форекса, криптовалют и товаров. 

Компания Malwarebytes отметила, что файлы зараженного программного обеспечения для Windows и Mac упакованы в два архива ZIP. Итоговый ZIP-архив защищен паролем, что необычно, поскольку легитимные исполняемые файлы таким образом не сжимаются. 

Согласно данным Malwarebytes, на компьютерах Mac пользовательские данные похищаются посредством POST-запроса к серверу (45.140.13.244), расположенному на Сейшельских островах.

В установщике для Mac используется более новая версия AMOS. Это популярная программа для кражи macOS, которая проверяет наличие виртуальной машины. Если она обнаружена, программа завершает работу с кодом ошибки 42. 

Версия для Windows загружает полезную нагрузку через обфусцированный bat-файл, который запускает вредоносный скрипт. Компания Malwarebytes связала версию для Windows с хостом 'cousidporke[.]icu', зарегистрированным в России неделю назад.