A Malwarebytes, empresa especializada em segurança cibernética, alertou para uma nova ameaça envolvendo um malware disfarçado como uma versão crackeada do TradingView Premium, plataforma conhecida por fornecer gráficos e ferramentas de análise para o mercado financeiro. O malware está sendo distribuído por meio de links compartilhados em subreddits dedicados a criptomoedas, oferecendo versões ilegais do software para Windows e Mac.
Esses links direcionam os usuários a instaladores infectados com dois tipos de malware: o Lumma Stealer e o Atomic Stealer, que têm como objetivo roubar informações pessoais e esvaziar carteiras de criptomoedas. O malware foi identificado pela primeira vez em março de 2023, quando o pesquisador Jerome Segura, da Malwarebytes, descobriu que vítimas tiveram suas carteiras digitais vazias e, posteriormente, seus contatos foram atacados por meio de links de phishing.
O esquema funciona com os fraudadores oferecendo o TradingView Premium de forma gratuita, prometendo acesso a recursos premium desbloqueados. No entanto, esses programas contam com malwares criados para capturar dados sensíveis, como informações de autenticação de dois fatores (2FA) e senhas de administradores. O Lumma Stealer, que já existe desde 2022, tem como alvo principal carteiras de criptomoedas e extensões de navegadores que armazenam informações de segurança. Já o Atomic Stealer, lançado em abril de 2023, é mais especializado em roubar credenciais de sistemas e dispositivos.
Além do software relacionado ao TradingView Premium, os golpistas também estão oferecendo outros programas fraudulentos voltados para o público de criptomoedas, com a intenção de atingir traders e investidores. Um aspecto que chama a atenção é o nível de interação dos criminosos nos fóruns de discussão. Segundo Segura, o golpista por trás desses ataques se empenha em fornecer assistência aos usuários que enfrentam dificuldades com o download do software, criando uma falsa sensação de confiança e apoio.
Embora a origem exata do malware ainda não tenha sido descoberta, a Malwarebytes conseguiu rastrear que os arquivos infectados estavam hospedados em um site registrado por uma empresa de limpeza em Dubai. Além disso, o servidor de comando e controle associado ao ataque foi registrado na Rússia pouco antes de os arquivos começarem a ser distribuídos. A empresa de segurança destacou que, apesar do conhecimento de que softwares crackeados frequentemente contêm malwares, a promessa de produtos gratuitos ainda é uma armadilha atraente para muitos.
Segura também alertou sobre alguns sinais típicos desses golpes. Entre os indícios mais comuns estão as instruções para desativar o antivírus antes de rodar o programa e a presença de arquivos protegidos por senhas. Esses elementos são típicos de ataques que visam ocultar a presença de malwares e dificultar a detecção.
