L'azienda di cybersecurity Malwarebytes ha avvertito di una nuova forma di malware per il "crypto-stealing" nascosta all'interno di una versione “craccata” di TradingView Premium, un software che fornisce strumenti grafici per i mercati finanziari. 

I truffatori si appostano sui subreddit dedicati alle crypto, pubblicando link a programmi di installazione per Windows e Mac di “TradingView Premium Cracked”, che contengono malware finalizzati al furto di dati personali e al prosciugamento dei cripto wallet, ha dichiarato Jerome Segura, ricercatore senior per la sicurezza di Malwarebytes, in un post sul blog del 18 marzo.

“Abbiamo sentito di vittime i cui wallet crypto sono stati svuotati e sono stati successivamente impersonificati dai criminali che hanno inviato link di phishing ai loro contatti”, ha aggiunto.

I truffatori affermano che i programmi sono gratuiti e sono stati craccati direttamente dalla loro versione ufficiale, ma in realtà sono pieni di malware. Fonte: Malwarebytes

Come parte della trappola, i truffatori affermano che i programmi sono gratuiti e sono stati craccati direttamente dalla loro versione ufficiale, sbloccando le funzionalità premium. In realtà contengono due malware, Lumma Stealer e Atomic Stealer.

Lumma Stealer è un “information stealer” che esiste dal 2022 e prende di mira principalmente i wallet di criptovalute e le estensioni del browser di autenticazione a due fattori (2FA). Atomic Stealer è stato scoperto per la prima volta nell'aprile 2023 ed è noto per la sua capacità di catturare dati come le password dell'amministratore e del keychain.

Oltre a “TradingView Premium Cracked”, i truffatori hanno offerto altri programmi di trading fraudolenti per colpire i cripto-trader su Reddit. 

Segura ha dichiarato che uno degli aspetti interessanti dello schema è che il truffatore si prende anche il tempo di assistere gli utenti nel download del software infetto da malware e di aiutarli a risolvere eventuali problemi con il download.

“L'aspetto interessante di questo particolare schema è il coinvolgimento dell'autore del post originale, che si occupa di esaminare il thread e di essere ‘utile’ agli utenti che fanno domande o segnalano un problema”, ha spiegato Segura.

“Sebbene il post originale avverta che l'installazione di questi file è a proprio rischio e pericolo, più avanti nel thread si possono leggere i commenti dell'autore”.

In questo caso, il truffatore rimane a disposizione per aiutare gli utenti a scaricare il software infetto da malware. Fonte: Malwarebytes

L'origine del malware non era chiara, ma Malwarebytes ha scoperto che il sito web che ospitava i file apparteneva a un'impresa di pulizie di Dubai e che il server di comando e controllo del malware era stato registrato da qualcuno in Russia circa una settimana fa.

Segura afferma che i software craccati sono soggetti a contenere malware da decenni, ma “il richiamo di un pranzo gratis è ancora molto attraente”.

Secondo Malwarebytes, i segnali comuni da tenere d'occhio in questo tipo di truffe sono le istruzioni per disabilitare il software di sicurezza in modo che il programma possa essere eseguito e i file protetti da password. 

In questo caso, Segura afferma che “i file sono zippati due volte, e lo zip finale è protetto da password. A titolo di confronto, un eseguibile legittimo non avrebbe bisogno di essere distribuito in questo modo”.

La società di analisi blockchain Chainalysis ha riferito nel suo Crypto Crime Report 2025 che la criminalità crypto è entrata in un'era professionalizzata dominata da truffe guidate dall'IA, riciclaggio di stablecoin ed efficienti cyber-sindacati. Nell'ultimo anno, la società di analisi stima che il volume delle transazioni illecite sia stato di 51 miliardi di dollari.