新しいマルウェアキャンペーンがRedditを悪用して、偽の「クラック」されたTradingView Premiumビルドを配布し、WindowsおよびmacOSシステムに秘密裏にVidarおよびAMOS情報盗聴マルウェアをインストールしています。
このキャンペーンは、TradingView Premiumの無料またはパイレーティングされたバージョンを探しているユーザーをターゲットにしています。TradingView Premiumは、株式、暗号資産、および外国為替トレーダーのための人気のあるブラウザベースのチャートおよびソーシャルプラットフォームです。
脅威アクターは、r/BitBullito、r/CryptoCurrencyDM、r/ForexWinchester、r/FXPulse、r/GitHub_Sourceなどの小規模または新しく作成されたサブレディットに投稿し、正当性を高めるために3年から6年前のようなより古いRedditアカウントを使用しています。
複数の場合において、サブレディットはわずかな購読者しかおらず、TradingViewの投稿の直前に作成されました。
この作戦は、2025年にソーシャルプラットフォームおよびコード・ホスティングサイトで以前に文書化された盗聴活動を反映しています。ただし、RedditでのスケールD、永続性、および厳密な運用管理が際立っています。
同時に、投稿アカウントは「Four Year Club」などの年次トロフィーを持っていましたが、ほぼ真正なアクティビティを示さず、これはハイジャックまたは購入されたプロフィールと一貫したパターンです。
投稿はすべて「TradingView Premium Free」、「Lifetime Edition」、または同様のバリエーションを約束し、ソフトウェアはリバースエンジニアリングされ、Windows、macOS、および「macOS 15+」に完全にアンロックされていると主張しています。
調整された作戦の兆候
特定されたすべての投稿は、ほぼ同じテンプレートに従っており、キャンペーンの背後に単一のオペレータがいることを示唆しています。
タイトル、本文、およびインストール手順は同じフレーズを繰り返し、すべての投稿はWindows、macOS、およびmacOS 15の3つの個別のダウンロードボタンを宣伝しており、これはGatekeeperの制限を回避するためにmacOSバージョンごとにペイロードをカスタマイズする他のAMOSキャンペーンと一致しています。
パスワードとしてのgithubの選択は、GitHubがVidarおよびAMOS両方の配布ベクトルとしてすでに大量に悪用されていることを考えると、特に注目に値します。
これらの投稿下のコメントも強い重複を示しています。同様の表現が異なるユーザー名で表示され、「満足しているユーザー」の返信は同じ構造を繰り返しており、アクターがコミュニティエンゲージメントをシミュレートするために複数の制御されたアカウントからコメントしている可能性があります。
被害者および研究者からのレポートは、ファイルが「マルウェア」または「盗聴者」であると呼ぶ警告コメントが数分以内に消えることに注意し、攻撃者による活発なモデレーションを指しています。
各Redditポストは3つの外部ダウンロードURLにリンクしており、プラットフォームごとに1つずつであり、すべては新しく登録されたのではなく侵害されたようなレジティメートなビジネスドメイン上でホストされています。
リソースセクションには、Ambassador、Half.gif、Impact.gif、Receipt.gifなどの無実の名前を持つ11ファイルを含む1.7メガバイトのMicrosoft Cabinetアーカイブが含まれています。
ダウンロードは、パスワード保護されたZIPアーカイブとして提供され、時には入れ子になり、「github」または「codeberg」などの信頼されたデベロッパープラットフォームを連想させるパスワードを使用し、メールまたはウェブゲートウェイでの自動化されたサンドボックス分析を複雑にします。
特定されたサイトには、fotoflux[.]com、ghatreh[.]co、hitechprovider[.]com、techadapt[.]io、およびqwayglobalventures[.]comが含まれており、ペイロードは/share/、/share_windows/、/tvwin/、/macapp/などのパス下に配置されています。
この技術は他のVidarおよびAMOSキャンペーンを密接に反映しており、周囲走査を回避するために保護されたアーカイブに依存しています。
Windows上のVidar、macOS上のAMOS
Windowsでは、被害者は780 MBを超える肥大した「TradingView Premium Desktop」インストーラーのように見えるものを受け取ります。このサイズは、多くのアンチウイルスファイルサイズ制限をバイパスするために特に選択されています。
同様のVidarチェーンの分析は、このサイズの大部分がリソースセクション内のヌルバイトパディングであることを示しており、適切なwextract自己抽出スタブが複数の無実に見えるファイルを含むキャビネットを展開します。
これらのファイルの1つの中に隠された難読化されたバッチスクリプトは、copy /b操作を使用して分割されたフラグメントから実際のVidarエグゼキュタブルを再構成し、ブラウザ認証情報、クッキー、および暗号資産ウォレットを収集するために起動し、攻撃者制御インフラストラクチャに流出させます。
この技術は、2025-2026年のソーシャルメディアキャンペーンで見られるVidar 2.0配布と一致しています。
macOSでは、ダウンロードは通常、IntelおよびApple Siliconの両方にコンパイルされたユニバーサルMach-Oバイナリを含むTradingView-テーマのDMGを含み、最近のAMOSキャンペーンで報告された技術に一致しています。
バイナリは、ランタイムで埋め込みペイロードを復号化し、AppleScriptまたは同様のコードを実行してKeychain、ブラウザデータ、システム情報、暗号資産ウォレットにアクセスし、データを圧縮してHTTP POSTでコマンド・アンド・コントロールサーバーに送信します。
研究者は2025年初頭以降、RedditでのクラックされたTradingViewルアーを追跡しており、この最新の波は、オペレータがインフラストラクチャを継続的に改善し、侵害されたドメインをローテーションし、テイクダウンを回避するための新しいサブレディットをスピンアップしていることを示しています。
キャンペーンは主に小売トレーダーと個人マシン上の暗号資産愛好家に命中しますが、従業員が仕事用デバイスにパイレーティングされたツールをインストールするたびに企業環境がリスクにさらされています。
ディフェンダーは、既知の配布ドメインをDNSおよびウェブプロキシでブロックし、Redditセッション後の大規模なZIPダウンロードを監視し、可能な場合はゲートウェイでパスワード保護されたアーカイブを制限する必要があります。
エンドポイントでは、Windows Telemetryは大きなパディングされたバイナリを使用してwextract.exeがcmd.exeを生成することにフラグを立てる必要があり、macOSモニタリングは符号なしアプリがosascript、dscl-ベースのパスワードチェック、およびブラウザ以外のプロセスからの異常なHTTP POSTトラフィックを呼び出すことを監視する必要があります。
最終的に、ユーザーは、特に匿名のRedditポストから「無料」プレミアムソフトウェアが今日最も信頼できる認証情報盗聴マルウェアへのパスの1つであることを明確に指導する必要があります。
翻訳元: https://gbhackers.com/fake-tradingview-premium/
