Você já ouviu falar de malware se espalhando por meio de postagens no Reddit? Se a resposta for não, prepare-se! Este artigo vai te contar sobre os stealers AMOS e Lumma, que estão roubando informações de usuários do Reddit interessados em criptomoedas. Descubra como esses criminosos estão agindo e como você pode se proteger.
Recentemente, foi identificado um esquema de distribuição de malware direcionado a usuários do Reddit. Stealers, programas maliciosos que roubam dados, estão sendo disseminados por meio de postagens que oferecem versões gratuitas e “crackeadas” de softwares populares, especialmente plataformas de negociação de criptomoedas como o TradingView.
Posts no Reddit alvos de entusiastas de cripto
Os criminosos estão explorando subreddits populares entre traders de criptomoedas. Eles anunciam o acesso gratuito a versões premium do TradingView, prometendo recursos desbloqueados. A isca é irresistível para quem busca economizar ou obter vantagens na negociação.
As postagens geralmente incluem avisos de que o download é por conta e risco do usuário. Entretanto, comentários posteriores feitos pelos próprios criadores das postagens mostram desdém por eventuais problemas, reforçando a intenção maliciosa.
Downloads hospedados em sites irrelevantes
Os arquivos maliciosos são hospedados em sites não relacionados ao tema, um detalhe estranho. Ao invés de usar plataformas de compartilhamento populares, os criminosos optaram por servidores que oferecem maior controle sobre os arquivos e permitem atualizações diretas.
Um exemplo chocante foi a hospedagem dos arquivos em um website de uma empresa de limpeza em Dubai. Isso destaca a falta de sofisticação em alguns aspectos da operação, mas a eficácia do golpe em si.
Observou-se a exibição da versão PHP do servidor (uma versão antiga e desatualizada), demonstrando falhas de segurança que poderiam facilitar futuras invasões e comprometimento do site.
Malware compactado em dobro
Tanto os arquivos para Mac quanto para Windows são compactados duas vezes, com a última camada protegida por senha. Esta técnica é usada para dificultar a detecção por softwares antivírus.
No macOS, o instalador é uma nova variante do AMOS, um stealer popular. Essa versão inclui uma verificação para detectar máquinas virtuais, evitando análise em ambientes controlados.
O código malicioso utiliza um script para enviar informações roubadas para o servidor em 45.140.13.244 nas Seychelles.
Já nos sistemas Windows, o payload é carregado através de um arquivo .bat ofuscado que executa um script AutoIt.
O servidor de comando e controle para a versão Windows é cousidporke[.]icu, registrado recentemente na Rússia.
Há relatos de vítimas que tiveram suas carteiras de criptomoedas esvaziadas e foram posteriormente usadas pelos criminosos para enviar mensagens de phishing a seus contatos.
Conclusão
A isca de softwares gratuitos e “crackeados” continua atraindo muitas vítimas. Este caso é peculiar pela interação ativa do autor da postagem original com os usuários, aumentando a credibilidade do golpe.
Fique atento a estes sinais:
- Instruções para desabilitar o software de segurança.
- Arquivos protegidos por senha.
- Arquivos hospedados em plataformas duvidosas.
Apesar da facilidade em identificar esses golpes, é importante manter a vigilância e utilizar softwares de segurança confiáveis. A prevenção é fundamental para evitar ser vítima desse tipo de crime.
Compartilhe suas experiências e dicas de segurança!
Fonte: Malwarebytes
