Siber güvenlik firması Malwarebytes, finansal piyasalar için grafik araçları sağlayan TradingView Premium yazılımının "kırılmış" bir sürümünün içinde gizlenmiş yeni bir kripto çalma kötü amaçlı yazılım türü konusunda uyardı.
Dolandırıcılar, kişisel verileri çalmayı ve kripto cüzdanlarını boşaltmayı amaçlayan kötü amaçlı yazılımlarla dolu "TradingView Premium Cracked" için Windows ve Mac yükleyicilerine bağlantılar göndererek kripto alt dizinlerinde gizleniyorlar, Malwarebytes'ta kıdemli bir güvenlik araştırmacısı olan Jerome Segura, 18 Mart tarihli bir blog yazısında söyledi.
"Kripto cüzdanları boşaltılan ve daha sonra kişilerine kimlik avı bağlantıları gönderen suçlular tarafından taklit edilen kurbanlar duyduk" diye ekledi.
Dolandırıcılar programların ücretsiz olduğunu ve doğrudan resmi sürümlerinden kırıldığını iddia ediyorlar, ancak aslında kötü amaçlı yazılımlarla dolular. Kaynak: Malwarebytes
Dolandırıcılar, tuzağın bir parçası olarak programların ücretsiz olduğunu ve doğrudan resmi sürümlerinden kırılarak premium özelliklerin kilidini açtığını iddia ediyor. Aslında iki kötü amaçlı yazılım programı içeriyor: Lumma Stealer ve Atomic Stealer.
Lumma Stealer, 2022'den beri var olan ve öncelikli olarak kripto para cüzdanlarını ve iki faktörlü kimlik doğrulama (2FA) tarayıcı uzantılarını hedef alan bir bilgi hırsızıdır. Atomic Stealer ilk olarak Nisan 2023'te keşfedildi ve yönetici ve anahtarlık şifreleri gibi verileri yakalama yeteneğiyle biliniyor.
"TradingView Premium Cracked"ın yanı sıra dolandırıcılar, Reddit'teki kripto yatırımcılarını hedef almak için başka dolandırıcılık ticaret programları da sundular.
Segura, planın ilginç yönlerinden birinin, dolandırıcının kötü amaçlı yazılımlarla dolu yazılımı indirmede kullanıcılara yardımcı olmak ve indirmeyle ilgili sorunları çözmeye yardımcı olmak için zaman ayırması olduğunu söyledi.
Segura, "Bu özel şemada ilginç olan şey, orijinal gönderenin ne kadar dahil olduğu, konuyu takip edip soru soran veya bir sorun bildiren kullanıcılara 'yardımcı' olması," dedi.
"Orijinal gönderi, bu dosyaları kendi riskinizle yüklediğinize dair bir uyarı verirken, konu başlığının aşağısında Orijinal gönderenin yorumlarını okuyabiliriz."
Bu durumda, dolandırıcı, kullanıcıların kötü amaçlı yazılımlarla dolu yazılımı indirmelerine yardımcı olmak için etrafta dolaşıyor. Kaynak: Malwarebytes
Kötü amaçlı yazılımın kaynağı net değildi, ancak Malwarebytes, dosyaları barındıran web sitesinin Dubai'deki bir temizlik şirketine ait olduğunu ve kötü amaçlı yazılım komuta ve kontrol sunucusunun yaklaşık bir hafta önce Rusya'daki biri tarafından kaydedildiğini buldu.
Segura, kırılmış yazılımların onlarca yıldır kötü amaçlı yazılım içermeye meyilli olduğunu, ancak "bedava öğle yemeğinin cazibesinin hala çok çekici" olduğunu söylüyor.
Malwarebytes'a göre, bu tür dolandırıcılıklarda dikkat edilmesi gereken yaygın kırmızı bayraklar, programın çalışabilmesi için güvenlik yazılımını devre dışı bırakma talimatları ve parola korumalı dosyalardır.
İlgili: Microsoft kripto cüzdanlarını hedef alan uzaktan erişim trojanına karşı uyardı
Bu örnekte, Segura "dosyaların çift sıkıştırılmış olduğunu ve son sıkıştırılmış dosyanın parola korumalı olduğunu" söylüyor. Karşılaştırma yapmak gerekirse, meşru bir yürütülebilir dosyanın bu şekilde dağıtılmasına gerek kalmazdı."
Blockchain analitiği firması Chainalysis, 2025 Kripto Suç Raporu'nda kripto suçunun yapay zeka destekli dolandırıcılıklar, stablecoin aklama ve etkili siber sendikaların hakim olduğu profesyonel bir döneme girdiğini bildirdi. Analitik firması, geçen yıl yasadışı işlem hacminin 51 milyar dolar olduğunu tahmin ediyor.