Hackerlar, Vidar ve AMOS Stealers’ı Teslim Etmek İçin Reddit’teki Sahte TradingView Premium Gönderilerini Kullanıyor

Bir tehdit aktörü, Windows'ta Vidar ve macOS'ta AMOS olmak üzere iki kötü amaçlı yazılım ailesi sunmak için ücretsiz TradingView Premium erişimi vaat eden sahte gönderiler kullanarak Reddit'te aktif bir kampanya yürütüyor. Operasyon hala devam ediyor ve eskileri kaldırıldıkça yeni gönderiler ortaya çıkıyor. TradingView, perakende yatırımcılar, kripto yatırımcıları ve forex meraklıları arasında en yaygın kullanılan grafik platformlarından biridir. Premium aboneliği, birçok kullanıcının atlamayı tercih edeceği bir fiyata gelişmiş göstergelerin ve gerçek zamanlı piyasa verilerinin kilidini açar. Tehdit aktörü, bu boşluğu, kurbanları şüphe uyandırmadan tüm enfeksiyon zincirinde adım adım yönlendiren talimatlarla (bazıları kaçırılmış, diğerleri amaca yönelik olarak oluşturulmuş) birden fazla alt dizin arasında paylaşımda bulunarak kullanıyor. Hexastrike analistleri, birkaç yeni hırsız vakasıyla uğraşırken bu enfeksiyonların izini Reddit'e kadar sürdü. Güvenilir görünmek için eski, satın alınmış veya ele geçirilmiş hesapları kullanarak en az beş alt kredide faaliyet gösteren tek bir tehdit aktörü belirlediler. Öne çıkan şey teknik karmaşıklık değil, operasyonel disiplindir. Barındırma alan adları işaretlendikleri anda değiştirilir, gerçek kullanıcıların uyarı yorumları dakikalar içinde silinir ve gönderiler tutarlı bir tonda tutmak için LLM tarafından oluşturulur. Alt dizginler net bir hikaye anlatır. r/BitBullito ve r/CryptoCurrencyDM sırasıyla sadece iki ve 29 aboneye sahipken, bunlara gönderilen hesaplar üç ila altı yaşındaydı ve bu da operasyona yanlış meşruiyet kazandırıyordu. U/BroadDepartment573 adlı bir hesap, Four Year Club Reddit kupası taşıyordu ancak tüm tarihi boyunca yalnızca tek bir gönderi paylaştı. U – BroadDepartment573 'ün Reddit profili, Four Year Club kupasını başka türlü boş bir etkinlik geçmişiyle birlikte gösteriyor (Kaynak – Hexastrike)

Her gönderi aynı şablonu takip ediyor ve yazılımın tüm lisans kontrolleri kaldırılarak ters mühendislik uygulandığını iddia ediyor.