Как сообщает Malwarebytes, мошенники действуют через сабреддиты, популярные среди криптотрейдеров, предлагая пользователям загрузить установочные файлы для операционных систем Windows и Mac, замаскированные под взломанную версию популярной платформы TradingView с разблокированными премиум-возможностями.
Однако, вместо обещанного бесплатного доступа к премиум-функциям для анализа рынка финансов и криптовалют, установщики содержат вредоносные программы Lumma Stealer и Atomic Stealer (AMOS).
Lumma Stealer специализируется на краже данных криптовалютных кошельков и расширений браузеров с двухфакторной аутентификацией, а Atomic Stealer извлекает пароли администратора и ключи. Оба инструмента позволяют злоумышленникам похищать персональные данные и получать несанкционированный доступ к криптоактивам жертв.
В Malwarebytes отметили, что организаторы аферы активно взаимодействуют в чатах с пользователями социальной сети, чтобы повысить их доверие и эффективность атаки, и «помогают» своим жертвам устранять проблемы с загрузкой вредоносного ПО.
Ранее группа исследователей Microsoft Incident Response сообщила о новой программе-трояне удаленного доступа (RAT), который нацелен на поиск и компрометацию более 20 расширений криптокошельков в браузере Google Chrome.
