Согласно информации от компании Malwarebytes, мошенники используют сабреддиты, популярные среди криптотрейдеров, предлагая пользователям загрузить установочные файлы для операционных систем Windows и Mac. Эти файлы замаскированы под взломанную версию известной платформы TradingView с разблокированными премиум-возможностями.
Но вместо ожидаемого бесплатного доступа к функционалу для анализа финансовых и криптовалютных рынков установочные файлы содержат вредоносные программы Lumma Stealer и Atomic Stealer (AMOS).
Lumma Stealer предназначен для кражи данных криптовалютных кошельков и расширений браузеров, используя двухфакторную аутентификацию, в то время как Atomic Stealer извлекает пароли администраторов и ключи доступа. Оба этих инструмента позволяют злоумышленникам воровать личные данные и получать несанкционированный доступ к криптоактивам своих жертв.
Специалисты Malwarebytes подчеркнули, что организаторы этой схемы активно ведут общение с пользователями в чатах социальных сетей, чтобы усилить доверие и повысить эффективность своих атак, а также "помогают" жертвам решать проблемы, возникающие во время загрузки вредоносного ПО.
Ранее группа исследователей из Microsoft Incident Response сообщила о новой вредоносной программе, представляющей собой троян удалённого доступа (RAT), которая нацелена на поиск и компрометацию более 20 расширений для криптокошельков в браузере Google Chrome.