サイバー犯罪者は、金融チャートと取引分析の主要なプラットフォームであるTradingViewの人気を悪用して、Needle Stealerマルウェアを配布しています。
Malwarebytesからの最近のアラートによると、攻撃者はTradingView AIエージェントを模倣した偽のウェブサイトを作成しました。このニセのサイトは高度な取引ツールの約束でユーザーをおびき寄せ、TradingClawという虚偽の取引エージェントをデプロイするだけです。
インストールされると、TradingClawはNeedle Stealerのドロッパーとして機能し、Needle Stealerはブラウザをハイジャック、アカウントを盗み、機密の財務データを流出させる強力な情報盗聴マルウェアです。
詐欺は標的を絞ったフィッシングキャンペーンから始まります。攻撃者は、TradingViewと統合された「革新的なAI取引エージェント」を宣伝するメールやソーシャルメディアメッセージを送信します。
被害者は、TradingViewの正当なサイトに酷似した偽造ドメインに誘導されます。例えば、本物のtradingview.comの代わりに「tradingview-aiagent[.]com」のような巧妙なタイプミスがあります。
ページは、信頼を構築するために、自動取引シグナル、バックテスト機能、およびAI駆動の市場予測のスリックなデモを誇っています。
「Download TradingClaw」ボタンをクリックすると、感染チェーンがトリガーされます。サイトは、TradingClaw.exeに偽装した悪意のある実行ファイルをプッシュし、基本的なアンチウイルススキャンを回避するためにZIPアーカイブにバンドルされていることが多いです。
実行時に、ドロッパーはNeedle Stealerを解凍します。Needle Stealerは、2025年半ばごろに地下フォーラムで最初に発見されたモジュール式マルウェアファミリーです。
Needle Stealerはステルスで動作し、chrome.exeやfirefox.exeなどの正当なブラウザプロセスに注入され、ブラウジングセッションへの完全なアクセスを付与します。
それは、暗号交換ログイン(Binance、Coinbase)、銀行サイト、および取引プラットフォームなどの高価値資産を対象としています。
流出したデータはzip化され、HTTPS経由で攻撃者が管理するC2サーバーに送信されます。多くの場合、ドメイン生成アルゴリズム(DGA)を使用してエンドポイントをローテーションし、ブロックを回避します。
これを際立たせるのはTradingClawの永続化トリックです。偽のエージェントはブラウザ拡張機能またはスケジュール済みタスク「TradingClaw AI Optimizer」としてインストールされ、ブート時の再起動を保証します。
それは、偽のチャートとアラートをオーバーレイすることで実際の取引ボットを模倣し、犠牲者を従事させながらバックグラウンドでデータを吸い上げます。
高度なサンプルには、キーロガーとスクリーンショットキャプチャが含まれており、ランサムウェアまたはさらなる認証情報詰め込み攻撃の扉を開きます。
偽物を見つけてください。正当なTradingViewは、メール経由で外部「AIエージェント」をプッシュすることはありません。常にURLをホバーしてクリックする前に確認してください。VirusTotalなどのツールはダウンロードをスキャンでき、Chromeの拡張安全ブラウジングなどのブラウザ保護を有効にできます。
企業は、プロセス注入と異常なデータ流出に対する動作検出を備えたEDRを展開する必要があります。
翻訳元: https://cyberpress.org/needle-stealer-hits-fake-tradingview/