Главная страница » Индикаторы компрометации
0
17 часов
Индикаторы компрометации

Киберпреступники наводнили Reddit поддельными взломанными версиями TradingView, распространяя ворующие данные программы-вымогатели

Stealer

Социальная сеть Reddit стала ключевой площадкой для масштабной и высокоорганизованной кампании по распространению вредоносного программного обеспечения, нацеленной на трейдеров и инвесторов. Угроза, замаскированная под взломанные премиум-версии популярной платформы для анализа рынков TradingView, использует сложную тактику социальной инженерии и обфускации кода для обхода систем защиты. Исследователи кибербезопасности, отслеживая недавние инциденты с программами-ворами информации, выявили, что первоначальное заражение устройств жертв систематически происходит через эту платформу. Операция отличается не технической новизной, а беспрецедентным операционным размахом, устойчивостью и адаптивностью инфраструктуры доставки вредоносных нагрузок.

Описание

В центре схемы лежит классический, но эффективный метод социальной инженерии. TradingView - это облачная платформа для построения графиков и социальная сеть, широко используемая для анализа фондового, криптовалютного и валютного рынков. Её премиум-подписка открывает доступ к расширенным инструментам, однако её стоимость побуждает часть пользователей искать бесплатные или взломанные версии. Этим и пользуются злоумышленники, создавая в сообществах Reddit (субреддитах) развёрнутые посты с предложениями "полностью разблокированных" и "реверс-инженерных" сборок. Однако вместо обещанного функционала жертвы получают программы-вымогатели семейств Vidar (для Windows) и AMOS (для macOS), которые в течение секунд после запуска похищают учётные данные браузеров, файлы криптовалютных кошельков, данные автозаполнения и сессионные куки.

Особенностью данной кампании является тщательно продуманная имитация легитимности, что значительно повышает её эффективность. Злоумышленник не просто размещает рекламные посты, а активно модерирует созданные или захваченные сообщества. Анализ пяти выявленных субреддитов, таких как r/CryptoCurrencyDM или r/GitHub_Source, показывает чёткую схему: сообщества создаются недавно (часто за несколько дней до публикации), но для размещения постов используются аккаунты с историей в 3-6 лет, вероятно, скомпрометированные или приобретённые на чёрном рынке. Это создаёт иллюзию надёжности. Более того, оператор в режиме, близком к реальному времени, удаляет любые комментарии реальных пользователей, предупреждающих о вредоносности ссылок, и активно комментирует свои же посты с разных аккаунтов, симулируя активное и довольное сообщество. Стилистический анализ текстов указывает на их возможную генерацию с помощью больших языковых моделей, что объясняет шаблонность и характерные грамматические конструкции.

Инфраструктура доставки также выстроена с расчётом на доверие. Вредоносные файлы размещаются не на временных доменах, а на скомпрометированных сайтах легитимных компаний, таких как hitechprovider[.]com или techadapt[.]io. Это позволяет ссылкам избегать фильтрации по репутации. Полезная нагрузка поставляется в виде архивов ZIP, защищённых паролем (часто используются слова "github" или "codeberg"), что блокирует их автоматическую распаковку и анализ сетевыми сканерами или песочницами. В постах даже даются подробные инструкции по установке, включая рекомендации по программам для распаковки (7-Zip, The Unarchiver) и, что особенно цинично, пошаговое руководство для пользователей macOS по отключению системных защитных механизмов Gatekeeper для запуска вредоносного приложения.

Технический анализ полезных нагрузок демонстрирует целенаправленную оптимизацию под разные платформы. Windows-версия использует известную тактику уклонения от антивирусного сканирования: исполняемый файл искусственно раздут до 784 мегабайт за счёт нулевых байтов в ресурсах, что превышает лимиты размера файла для проверки большинством движков. Фактический вредоносный код - это самораспаковывающийся архив CAB, который запускает обфусцированный пакетный скрипт. Этот скрипт собирает конечный исполняемый файл вора Vidar из нескольких фрагментов, замаскированных под файлы с расширениями вроде .gif. macOS-вариант, напротив, компактен (около 217 КБ) и представляет собой нативный бинарный файл. Он содержит в себе зашифрованный скрипт AppleScript, который при запуске расшифровывается с помощью простого XOR с псевдослучайной последовательностью и исполняется, развёртывая вор AMOS. Этот вор целенаправленно собирает данные из шести основных браузеров, файлы кошельков Exodus и MetaMask, а также информацию из системного Keychain.

Данная кампания остаётся активной, демонстрируя высокую устойчивость. По мере блокировки старых URL-адресов доставки злоумышленник оперативно заменяет их новыми, используя свежескомпрометированные сайты. Подобная активность, нацеленная на пользователей TradingView в Reddit, наблюдается исследователями с начала 2025 года, что указывает на продолжительную и эволюционирующую операцию. Риски для бизнеса, несмотря на кажущуюся ориентацию на частных пользователей, существенны. Сотрудники, занимающиеся трейдингом на рабочих или личных устройствах, используемых для работы, могут непреднамеренно занести вредоносное ПО в корпоративную среду.

Для противодействия организациям рекомендуется блокировать на сетевых шлюзах домены, используемые для распространения, а также рассмотреть возможность ограничения загрузки запароленных архивов ZIP. В рамках поиска угроз (Threat Hunting) полезно отслеживать в журналах веб-прокси связку: посещение Reddit с последующей загрузкой большого ZIP-архива с не связанного по тематике домена. На конечных точках под Windows индикаторами компрометации могут служить процессы wextract.exe, порождающие cmd.exe с включённым расширением переменных, или выполнение пакетных скриптов, собирающих файлы командой copy /b. На macOS следует обращать внимание на неподписанные приложения, выполняющие вызовы system() или osascript сразу после запуска, а также на неожиданные сетевые соединения с POST-запросами. Ключевой мерой защиты остаётся повышение осведомлённости пользователей о рисках загрузки взломанного программного обеспечения, которое продолжает оставаться одним из самых надёжных векторов для кибератак.

Индикаторы компрометации

IPv4

  • 135.181.233.224
  • 217.119.139.117

Domains

  • fotoflux.com
  • ghatreh.co
  • hitechprovider.com
  • qwayglobalventures.com
  • techadapt.io

URLs

  • https://www.reddit.com/r/BitBullito/comments/1o0ptij/free_tradingview_premium_unlocked_edition_for/
  • https://www.reddit.com/r/CryptoCurrencyDM/comments/1rbhg3l/tradingview_premium_free_v3120743_fully_unlocked/
  • https://www.reddit.com/r/ForexWinchester/comments/1o159qb/free_tradingview_premium_new_update_winmacos/
  • https://www.reddit.com/r/FXPulse/comments/1o7cq6m/tradingview_free_v21307353_september_2025_desktop/
  • https://www.reddit.com/r/GitHub_Source/comments/1s33skm/tradingview_premium_lifetime_edition_v296_windows/

SHA256

  • 61191267f2d8625268cd7e488a16ab5c7b67765fb2b9bc76e4d2d97def83395a
  • 9867207751793bcf7ebcba467b16b61cd79bbb8cd90c6f33e55141770c967a43
  • af547cdc1b7a9dfa507257ee416a9f2b20b85444b5d6f2f080019250426e4394
Комментарии: 0
Похожие записи
1
09.06.2025
Индикаторы компрометации

Российские хакеры атакуют macOS через поддельные сайты Spectrum с новым вариантом AMOS-стеалера

Stealer
Исследователи компании CloudSEK обнаружили сложную кампанию по распространению новой версии Atomic macOS Stealer (AMOS) с использованием поддельных доменов, имитирующих сайт американского телеком-провайдера Spectrum.
0
27.01.2026
Индикаторы компрометации

Многоступенчатая кибератака через туристическую компанию привела к активной разведке злоумышленников

information security
Недавняя операция платформы Deception.Pro, в ходе которой использовалась система-приманка в секторе туризма и путешествий, позволила детально зафиксировать сложную многоэтапную атаку.
0
25.06.2025
Индикаторы компрометации

Опасный ИИ-обман: Злоумышленники Отравляют Поисковую Выдачу для Распространения Вредоносных Программ

information security
Исследователи Zscaler ThreatLabz обнаружили масштабную кампанию по распространению вредоносного ПО через искусственно созданные веб-сайты на тему искусственного интеллекта.