概要
新しいマルウェアキャンペーンがRedditを利用して、TradingView Premiumの偽造「クラック版」を配布し、WindowsおよびmacOSシステムに秘密裏にVidarとAMOS情報窃取型マルウェアをインストールしています。このキャンペーンは、無料または海賊版のTradingView Premiumを探しているユーザーを標的としています。
Redditでの展開
脅威アクターは、r/BitBullitoやr/CryptoCurrencyDMなどの小さなサブレディットで投稿を行い、3〜6年前に作成された古いアカウントを使用して信憑性を高めています。多くの場合、これらのサブレディットには数人の登録者がしかおらず、TradingViewの投稿直前に作成されています。
キャンペーンの特徴
- 規模:このキャンペーンは以前に報告されたソーシャルプラットフォームやコードホスティングサイトでのステーラーアクティビティと似ていますが、その規模、持続性、およびRedditでの厳密な運営管理により目立っています。
- テンプレート:すべての投稿はほぼ同一のテンプレートに従っており、「TradingView Premium Free」や「Lifetime Edition」といったタイトルを掲げています。
ダウンロードとインストール
各Reddit投稿には、Windows、macOS、およびmacOS 15用の3つの外部ダウンロードURLが含まれており、これらは正当なビジネスドメインにホストされています。ダウンロードはパスワード保護されたZIPアーカイブで提供され、「github」や「codeberg」といった信頼できる開発プラットフォームを連想させるパスワードを使用しています。
マルウェアの展開
Windows:被害者は、780MBを超える巨大な「TradingView Premium Desktop」インストーラーを受け取ります。このサイズは多くのアンチウイルスソフトウェアのファイルサイズ制限を回避するためです。
macOS:ダウンロードには通常、TradingViewテーマのDMGが含まれており、IntelとApple Silicon用にコンパイルされたユニバーサルMach-Oバイナリがあります。このバイナリは実行時に埋め込まれたペイロードをデコードし、Keychainやブラウザデータ、システム情報、暗号通貨ウォレットへのアクセスを行い、その情報を圧縮してHTTP POSTでコマンドアンドコントロールサーバーに送信します。
対策
防御者は、既知の配布ドメインをDNSやウェブプロキシでブロックし、Redditセッション後に大規模なZIPダウンロードを監視する必要があります。また、ゲートウェイではパスワード保護されたアーカイブを制限すべきです。
ユーザーへの注意
「無料」のプレミアムソフトウェア(特に匿名のReddit投稿から)は、今日最も信頼性のあるクレデンシャル窃取マルウェアへの道であることを理解することが重要です。