💬 Криптологу Amos и Lumma распределяется через посты Reddit

Криптологу Amos и Lumma распределяется через посты Reddit

Криптологурные программы Lumma и Amos недавно распределены через посты Reddit. Эти сообщения нацелены на пользователей Windows и Mac в криптовалютном пространстве.

Такие сообщения используют различные тактики, чтобы обмануть пользователя в загрузку зараженного программного обеспечения. Тем не менее, одна приманка становится особенно распространенной - потрескавшаяся версия Tradingview.

Эти мошенники недавно скрывались на крипто-связанных субреддитах. Согласно их сообщениям, так называемая треснутая версия TradingView абсолютно бесплатна, и она была вырвана непосредственно из официальной версии. Мошенники утверждают, что это разблокирует премиальные функции, такие как передовые инструменты диаграммы для акций, форекс, криптография и товары.

Malwarebytes отметил, что как Windows, так и Mac-файлы зараженного программного обеспечения с два раза. Окончательный zip-файл защищен паролем, что является необычным, поскольку законные исполняемые файлы не сжаты так.

Согласно MalwareBytes, на Mac пользовательские данные эксфильтрируются через запрос POST на сервер (45.140.13.244), размещенном в Сейшельских островах.

Установщик Mac имеет новый вариант AMOS. Это популярный краж для macOS, и он проверяет наличие виртуальной машины. Если обнаружена, программа существует с кодом ошибки 42.

Версия Windows загружает полезную нагрузку через сфузуенный файл BAT, который запускает вредоносный сценарий. MalwareBytes связал версию Windows с хост «Cousidporke [.] ICU», зарегистрированного в России неделю назад.