Мошенники распространяют малварь Amos и Lumma через посты на Reddit для кражи криптовалюты от пользователей Windows и Mac.

Малварь Amos и Lumma, предназначенная для кражи криптовалюты, в последнее время распространяется через посты на Reddit. Эти посты ориентированы на пользователей Windows и Mac в сфере криптовалют.

В таких постах используются различные тактики, чтобы обмануть пользователя и заставить его скачать заражённое программное обеспечение. Однако одним из самых распространённых приманок становится взломанная версия TradingView.

Эти мошенники в последнее время «засуживают» на сабреддитах, связанных с криптовалютами. Согласно их постам, так называемая взломанная версия TradingView абсолютно бесплатна и была взломана напрямую из официальной версии. Мошенники утверждают, что она разблокирует премиум-функции, такие как расширенные инструменты для графиков акций, форекса, криптовалют и товаров.

Компания Malwarebytes отметила, что как файлы для Windows, так и файлы для Mac заражённого программного обеспечения упакованы в двойной ZIP-архив. Последний ZIP-файл защищён паролем, что является необычным, так как законные исполняемые файлы не сжимаются таким образом.

Согласно Malwarebytes, на Mac данные пользователя выкачиваются через POST-запрос на сервер (45.140.13.244), расположенный на Сейшельских островах.

Установщик для Mac содержит более новую версию AMOS. Это популярный `стилер` для macOS, который проверяет наличие виртуальной машины. Если такая машина обнаруживается, программа завершается с кодом ошибки42.

Версия для Windows загружает вредоносное содержимое через запутанный bat-файл, который запускает вредоносный скрипт. Malwarebytes связала версию для Windows с хостомcousidporke[.]icu, зарегистрированным в России неделю назад.