Криптовіруси Amos та Lumma атакують користувачів Windows і Mac через пости в Reddit

КриптовірусAmos таLumma розповсюджується через пости в Reddit.

ВірусLumma таAMOS, що краде криптовалюту, останнім часом поширюється через пости в Reddit. Ці пости націлені на користувачівWindows таMac у криптосфері.

Такі пости використовують різноманітні тактики, щоб обманути користувача і змусити його завантажити заражене програмне забезпечення. Проте один із методів стає особливо поширеним – цезламане версіяTradingView.

Шахраї нещодавно почали з`являтися на підреддитах, пов`язаних із криптовалютою. Згідно з їх постами, так звана зламана версіяTradingView абсолютно безкоштовна, і вона зламана безпосередньо з офіційної версії. Шахраї стверджують, що це розблокує преміум-функції, такі як розширені інструменти для графіків для акцій, форекс, криптовалюти та товарів.

Malwarebytes зазначив, що файли зараженого програмного забезпечення дляWindows таMac зжаті двічі. Остаточний zip-файл захищений паролем, що є незвичним, адже легітимні виконувані файли не сжимаются таким чином.

Згідно з інформацієюMalwarebytes, наMac дані користувача ексфільтруються через запитPOST на сервер (45.140.13.244), який розташований на Сейшельських островах.

Установник дляMac містить нову варіаціюAMOS. Це популярний крадій дляmacOS, який перевіряє наявність віртуальної машини. Якщо вона виявлена, програма завершується з кодом помилки 42.

Версія дляWindows завантажує шкідливий код за допомогою заплутаного bat-файлу, який запускає шкідливий скрипт.Malwarebytes пов`язала версію дляWindows з хостом ‘cousidporke[.]icu’, зареєстрованим у Росії тиждень тому.