Foto: IB Photography/Shutterstock
TradingView ist eine Plattform für Charts und technische Analysen der Aktien- und Kryptomärkte. Ein Teil dieser Software ist jedoch derzeit nicht sicher.
Laut dem Cybersicherheitsunternehmen Malwarebytes enthält eine manipulierte Version von TradingView Premium gefährliche Malware.
Malware in TradingView Premium
Die Premiumversion von TradingView bietet eine Vielzahl fortschrittlicher Charts und Tools für Finanzanalysen. Millionen von Händlern weltweit nutzen diese Version.
Malwarebytes warnt jedoch Investoren zur Vorsicht. Betrüger haben Malware installiert, die über Reddit verbreitet wird.
Auf der Social-Media-Plattform Reddit gibt es kleinere Krypto-Communities, sogenannte „Subreddits“. Cyberkriminelle besuchen diese Foren jedoch nicht, um über Krypto zu diskutieren, sondern veröffentlichen dort Links zu „TradingView Premium Cracked“. Diese Installationsdateien für Windows und Mac enthalten Malware, die persönliche Daten stiehlt und Kryptowallets plündert.
Zwei Malware-Varianten
In verschiedenen Krypto-Subreddits posten die Betrüger immer wieder dieselbe Nachricht. Ihre Version der TradingView-Software sei angeblich „kostenlos“ und biete diverse Premiumfunktionen. Dass diese Dateien die Malware „Atomic Stealer“ und „Lumma Stealer“ enthalten, verschweigen sie natürlich.
Die beiden Malware-Varianten haben unterschiedliche Funktionen:
- Lumma Stealer wurde erstmals 2022 entdeckt. Diese schädliche Software infiltriert Browsererweiterungen und sammelt Informationen zur Zwei-Faktor-Authentifizierung (2FA) sowie zu Kryptowallets.
- Atomic Stealer ermöglicht Cyberkriminellen den Zugriff auf Passwörter. Zudem stiehlt diese Malware Informationen über sogenannte Keychains, die private Schlüssel speichern. Da für den Zugriff auf viele Kryptowallets ein Keychain-Passwort erforderlich ist, stellt dies ein erhebliches Sicherheitsrisiko dar.
Laut dem Sicherheitsforscher Jerome Segura von Malwarebytes hat die Malware bereits mehrere Krypto-Investoren getroffen. Betroffene verloren durch diese Form der Cyberkriminalität ihre digitalen Vermögenswerte. In einem Blogbeitrag vom 18. März schrieb Segura:
„Wir haben Berichte von Opfern erhalten, deren Kryptowallets komplett leergeräumt wurden. Zudem nutzten die Kriminellen die Identität der Opfer, um Phishing-Links an deren Kontakte zu versenden.“
Wie gehen die Betrüger vor?
Die Betrüger auf Reddit agieren geschickt. Sie versuchen, Kryptohändler dazu zu verleiten, weitere infizierte Trading-Software zu installieren. Laut Segura fallen gewarnte Nutzer dennoch oft auf die „kostenlose“ Premiumversion herein, da das Angebot verlockend erscheint.
Nachdem die Cyberkriminellen ihre Links zu der infizierten Software geteilt haben, bleiben sie aktiv. Sie beantworten Fragen von Reddit-Nutzern und bieten sogar Unterstützung bei der Installation der Malware an. Auch Segura fiel dieses Verhalten auf. Er bezeichnet die Vorgehensweise als „einzigartig“:
„Was diesen Betrug besonders macht, ist, dass die Betrüger aktiv auf Fragen von Nutzern reagieren und sogar Hilfe bei Installationsproblemen anbieten.“
Ursprung der Malware schwer nachvollziehbar
Malwarebytes untersucht die Herkunft der Malware, doch diese ist schwer nachzuvollziehen. Die infizierte Software scheint aus einem Reinigungsunternehmen in Dubai zu stammen. Der Server, der die Malware steuert, weist jedoch auf eine Person oder eine Gruppe in Russland hin.
Einige Krypto-Betrügereien sind schwer zu erkennen, aber es gibt Warnsignale:
- Ein Hinweis zur Deaktivierung der Sicherheitssoftware vor der Installation ist verdächtig.
- Auch passwortgeschützte Dateien sind ein schlechtes Zeichen.
- Seien Sie vorsichtig bei Softwareinstallationen, die doppelt in ZIP-Dateien verpackt sind.
Jerome Segura warnt Nutzer:
„In diesem Fall wurden die Dateien doppelt gezippt, wobei die letzte ZIP-Datei passwortgeschützt war. Eine legitime ausführbare Datei wird nicht auf diese Weise verbreitet.“
Ob die Täter jemals gefasst werden, bleibt unklar. Hacks sind ein großes Problem in der Krypto-Welt, da sie jährlich Verluste in Milliardenhöhe verursachen. Andererseits gelingt es den Ermittlungsbehörden immer wieder, flüchtige Cyberkriminelle aufzuspüren – so auch im Fall eines kürzlich gefassten Krypto-Betrügers aus Indien.
