偽のTradingView AIエージェントウェブサイトは、詐欺的な「TradingClaw」アシスタントを通じてNeedle Stealerマルウェアを配信しており、被害者のブラウザを乗っ取り、金融口座を枯渇させ、追続的な攻撃を可能にします。
このキャンペーンはTradingViewで自動化された戦略を求めるトレーダーを標的とし、AIトレーディングボットとブラウザベースの投資ツール周辺の現在の話題を利用しています。
このサイトは、洗練されたUI、「Download for Windows」ボタン、およびコーディングやAPIセットアップが不要という主張で正当な取引ツールを模倣していますが、TradingViewまたはその他の既知のトレーディングスタートアップとは関連がありません。
潜在的な被害者がダウンロードリンクをクリックすると、取引アシスタントを受け取る代わりに、前のキャンペーンから再利用されたマルウェアローダーを実行します。
起動すると、ローダーは信頼できるWindowsプロセスに第2段階のDLLを注入することでNeedle Stealerペイロードをデプロイし、検出の可能性を低減します。
研究者は、24/7でトレーディング戦略を実行できるパーソナルTradingView AIエージェントとして「TradingClaw」を宣伝している悪意のあるウェブサイトを発見しました。
インストールチェーンはバックグラウンドで静かに実行され、ユーザーにTradingClawアプリがインストールに失敗したか、マルウェアが永続性を確立している間に「構成」を続けているという印象を与えます。
偽のTradingView AIサイト
Needle Stealerは、侵害されたシステムからブラウザデータ、ログインセッション、および暗号通貨ウォレット情報を収集するように設計された情報窃取マルウェアファミリーです。
そのコアコンポーネントは、スクリーンショットをキャプチャし、ブラウザ履歴、Cookie、および保存されたフォームデータを収集し、テキストドキュメントやウォレットデータベースなどのファイルを流出させることができます。
マルウェアは、盗まれた認証情報の範囲を広げるために、TelegramのようなアプリケーションやFTPクライアントなど、一般的な通信およびファイル転送ツールも特に標的としています。
専用のブラウザ拡張モジュールにより、Needle Stealerはブラウザを制御し、トラフィックをリダイレクトし、Webページにスクリプトを注入することができます。
これは効果的に攻撃者に被害者のウェブセッションの遠隔制御を与え、パスワードを繰り返しプロンプトすることなく、トレーディングプラットフォーム、取引所、および銀行サイトのアカウント乗っ取りを可能にします。
Needle Stealerのウォレット重点型コンポーネントは、アクセスを迅速に収益化するために構築されています。デスクトップウォレットスプーファーはLedger、Trezor、Exodusなどのスタンドアロンアプリケーションを標的とし、ブラウザウォレットスプーファーはMetaMaskなどの拡張機能とCoinbase Walletに焦点を当て、シードフレーズと秘密鍵をキャプチャしようとしています。
これらの秘密を使用すると、攻撃者はトランザクションを逆転させる方法がなく、被害者のウォレットから暗号通貨を転送できます。
研究者が観察したコマンドアンドコントロールパネルには、偽のGoogleまたはCloudflareスタイルのページを自動生成するための「近日公開」機能が含まれており、より説得力のあるアカウント盗難シナリオのためにマルウェアとフィッシングフローを組み合わせる計画を示唆しています。
TradingClawのトレーディングボット餌と組み合わせると、このキャンペーンは、銀行、仲介、および取引ログインのためにブラウザを頻繁に再利用する活動的なトレーダーを正面から狙います。
トレーダーへの保護のヒント
トレーダーは、スタンドアロンのWindowsインストーラーを必要とする「TradingView AIエージェント」または「自動トレーディングボット」を非常に慎重に扱う必要があります。
広告、DM、またはYouTubeビデオの説明ではなく、公式ベンダードメインまたはTradingView内の検証可能なマーケットプレイス統合から直接ツールをダウンロードしてください。
セキュリティチームは既知の悪意のあるTradingClawドメインへのアクセスをブロックし、疑わしいDLLサイドローディング動作についてエンドポイントを検査し、ユーザーの操作なしに追加される異常なブラウザ拡張機能を監視する必要があります。
堅牢なinfostealer検出、厳格なブラウザ拡張機能ポリシー、およびトレーディングおよび取引所アカウントでの強化された多要素認証を使用したエンドポイント保護は、このキャンペーンの影響を大幅に制限できます。
個人の場合、TradingClawブランドのツールをインストールした場合は、ネットワークからデバイスを切断し、完全なマルウェアスキャンを実行し、トレーディング、電子メール、および取引所アカウントのセッションを取り消し、侵害されていないハードウェアで生成された新鮮なシードフレーズで新しいウォレットに暗号資金を移動してください。
翻訳元: https://gbhackers.com/fake-tradingview-ai-site/
