بدافزار سرقت کریپتو در کمین کاربران Reddit؛ مراقب نسخه جعلی TradingView باشید

مراقب نسخه «کرک شده» TradingView باشید؛ این یک تروجان سرقت‌کننده رمزارز است

شرکت امنیت سایبری Malwarebytes از نوع جدیدی از بدافزارهای سرقت رمزارز که در یک نسخه «کرک شده» از TradingView Premium پنهان شده است، هشدار داده است. این نرم‌افزار ابزارهای نموداری برای بازارهای مالی را فراهم می‌کند. کلاهبرداران در زیرردیت‌های مرتبط با رمزارز کمین کرده و لینک‌هایی به نصب‌کننده‌های ویندوز و مک برای «TradingView Premium Cracked» ارسال می‌کنند که با بدافزاری برای سرقت داده‌های شخصی و تخلیه کیف پول‌های رمزارزی آلوده شده است.

جروم سگورا، محقق ارشد امنیتی در Malwarebytes، در یک پست وبلاگی در ۱۸ مارس گفت: «ما از قربانیانی شنیده‌ایم که کیف پول‌های رمزارزی آنها تخلیه شده و سپس توسط مجرمان جعل هویت شده‌اند که لینک‌های فیشینگ را به مخاطبین آنها ارسال کرده‌اند.»

به عنوان بخشی از این تله، کلاهبرداران ادعا می‌کنند که این برنامه‌ها رایگان بوده و مستقیماً از نسخه رسمی آنها کرک شده‌اند و ویژگی‌های پریمیوم را باز می‌کنند. در واقع، این برنامه حاوی دو بدافزار به نام‌های Lumma Stealer و Atomic Stealer است. Lumma Stealer یک سرقت‌کننده اطلاعات است که از سال ۲۰۲۲ وجود داشته و عمدتاً کیف پول‌های رمزارزی و افزونه‌های مرورگر احراز هویت دو مرحله‌ای (۲FA) را هدف قرار می‌دهد. Atomic Stealer که اولین بار در آوریل ۲۰۲۳ کشف شد، به دلیل توانایی آن در ضبط داده‌هایی مانند رمزهای عبور مدیر و زنجیره کلید شناخته شده است.

علاوه بر «TradingView Premium Cracked»، کلاهبرداران برنامه‌های معاملاتی جعلی دیگری را نیز برای هدف قرار دادن معامله‌گران رمزارز در Reddit ارائه کرده‌اند. سگورا گفت یکی از جنبه‌های جالب این طرح این است که کلاهبردار همچنین وقت می‌گذارد تا به کاربران در دانلود نرم‌افزار آلوده به بدافزار کمک کرده و مشکلات مربوط به دانلود را حل کند.

سگورا گفت: «آنچه در این طرح خاص جالب است، میزان درگیری نویسنده اصلی پست است که در طول موضوع به کاربران پاسخ می‌دهد و به آنها کمک می‌کند یا مشکلات را گزارش می‌کند. در حالی که پست اصلی هشدار می‌دهد که شما این فایل‌ها را با مسئولیت خود نصب می‌کنید، در ادامه موضوع می‌توانیم نظرات نویسنده اصلی پست را بخوانیم.»

منشأ این بدافزار مشخص نبود، اما Malwarebytes دریافت که وب‌سایتی که فایل‌ها را میزبانی می‌کند متعلق به یک شرکت نظافت در دبی است و سرور فرمان و کنترل بدافزار حدود یک هفته پیش توسط فردی در روسیه ثبت شده است.

سگورا می‌گوید که نرم‌افزارهای کرک شده دهه‌هاست که مستعد داشتن بدافزار بوده‌اند، اما «جذابیت یک ناهار رایگان همچنان بسیار وسوسه‌انگیز است.»

طبق گفته Malwarebytes، نشانه‌های هشداردهنده رایج برای این نوع کلاهبرداری‌ها شامل دستورالعمل‌هایی برای غیرفعال کردن نرم‌افزارهای امنیتی به منظور اجرای برنامه و فایل‌هایی که با رمز عبور محافظت می‌شوند، هستند. در این مورد، سگورا می‌گوید: «فایل‌ها دو بار فشرده شده‌اند و فایل فشرده نهایی با رمز عبور محافظت می‌شود. برای مقایسه، یک فایل اجرایی قانونی نیازی به توزیع به این شکل نخواهد داشت.»

شرکت تحلیل بلاکچین Chainalysis در گزارش جرایم رمزارزی ۲۰۲۵ خود اعلام کرد که جرایم رمزارزی وارد عصر حرفه‌ای شده‌اند که توسط کلاهبرداری‌های مبتنی بر هوش مصنوعی، پولشویی با استیبل کوین‌ها و سندیکاهای سایبری کارآمد هدایت می‌شود. این شرکت تحلیلی تخمین می‌زند که در سال گذشته ۵۱ میلیارد دلار حجم تراکنش‌های غیرقانونی وجود داشته است.