En Resumen
- Los estafadores usaron versiones crackeadas de TradingView Premium para infectar dispositivos con malware y robar criptomonedas.
- Lumma Stealer en Windows y AMOS en Mac extrajeron datos de víctimas, incluidos credenciales y contraseñas.
- Chainalysis estimó $51.000 millones en transacciones ilícitas el año pasado, reflejando la persistencia de estos delitos.
Los estafadores están utilizando versiones crackeadas de TradingView Premium para vaciar billeteras de criptomonedas.
La aplicación se disfraza como una versión "crackeada" de la aplicación real TradingView Premium. Las descargas de las versiones infectadas con malware se distribuyen a través de Reddit y a menudo se han encontrado en subreddits de criptomonedas.
Las víctimas han reportado que sus billeteras de criptomonedas fueron vaciadas por completo. Luego fueron suplantadas por los estafadores, quienes utilizaron sus datos para enviar intentos de phishing animando a los contactos de las víctimas a descargar e instalar la aplicación infectada.
Una vez descargado, ya sea en Mac o Windows, el software libera el malware incorporado en forma de Lumma Stealer para Windows y Atomic Stealer (AMOS) en Mac.
El análisis del código muestra que el ataque AMOS extrae datos de los usuarios a un servidor alojado en Seychelles. Estos datos incluyen contraseñas e información de autenticación de dos factores.
Para eludir la seguridad en Mac, los estafadores han estado interactuando activamente con los usuarios haciéndose pasar por servicio al cliente para "ayudarles" a instalar el software. Esto incluye consejos sobre cómo desactivar ciertos protocolos de seguridad que de otra manera los protegerían de este tipo de ataques.
Un atacante escribió en una publicación de Reddit: "Esa advertencia de 'Apple no pudo verificar' es solo Apple siendo extra cauteloso... No te preocupes, un virus real en un Mac sería algo salvaje, ¡y nunca he visto uno colarse así!". Esto fue seguido por instrucciones sobre cómo abrir el Malware a pesar de los esfuerzos del Mac para detenerlo.
AMOS ataca a Mac y puede robar credenciales personales, mientras que Lumma Stealer, que existe desde 2022, se dirige a billeteras de criptomonedas y extensiones de navegador de autenticación de dos factores.
Jérôme Segura, un investigador senior de seguridad en Malwarebytes, escribió en una publicación de blog: "Lo interesante con este esquema en particular es cuán involucrado está el publicador original".
A pesar de ser un enfoque ligeramente más directo, este tipo de delito no es nuevo. La firma de análisis blockchain Chainalysis estima que hubo $51.000 millones en volumen de transacciones ilícitas en el último año.
Editado por Stacy Elliott.