A empresa de segurança cibernética Malwarebytes alertou sobre uma nova forma de malware que rouba criptomoedas, escondido dentro de uma versão “crackeada” do TradingView Premium, software que fornece ferramentas de gráficos para mercados financeiros.
Os golpistas estão à espreita em subreddits de criptomoedas, postando links para instaladores do Windows e Mac do “TradingView Premium Cracked”, que estão contaminados com malware projetado para roubar dados pessoais e esvaziar carteiras de criptomoedas, disse Jerome Segura, pesquisador sênior de segurança da Malwarebytes, em um post no blog da empresa em 18 de março.
“Já ouvimos falar de vítimas cujas carteiras de criptomoedas foram esvaziadas e que posteriormente foram imitadas pelos criminosos, que enviaram links de phishing para seus contatos”, acrescentou.
Os fraudadores afirmam que os programas são gratuitos e foram crackeados diretamente da versão oficial, mas na verdade estão repletos de malware. Fonte: Malwarebytes
Como parte do golpe, os fraudadores afirmam que os programas são gratuitos e foram desbloqueados com recursos premium. No entanto, eles contêm dois malwares: Lumma Stealer e Atomic Stealer.
O Lumma Stealer é um malware de roubo de informações que existe desde 2022 e alvo principal são carteiras de criptomoedas e extensões de navegador para autenticação de dois fatores (2FA). O Atomic Stealer foi descoberto em abril de 2023 e é conhecido por capturar dados como senhas de administradores e do keychain.
Além do “TradingView Premium Cracked”, os golpistas também ofereceram outros programas fraudulentos de negociação para atingir traders de criptomoedas no Reddit.
Segura disse que um dos aspectos mais interessantes do esquema é que o golpista também se dá ao trabalho de ajudar os usuários a baixar o software infectado por malware e resolver qualquer problema com o download.
“O que é interessante neste golpe em particular é o quanto o autor do post original está envolvido, interagindo no tópico e sendo ‘prestativo’ com usuários que fazem perguntas ou relatam um problema”, disse Segura.
Neste caso, o golpista permanece ativo para ajudar os usuários a baixarem o software infectado. Fonte: Malwarebytes
A origem do malware não foi identificada, mas a Malwarebytes descobriu que o site hospedando os arquivos pertencia a uma empresa de limpeza em Dubai, e o servidor de comando e controle do malware foi registrado na Rússia cerca de uma semana antes.
Segura diz que software crackeado é conhecido por conter malware há décadas, mas que o “apelo de um almoço grátis ainda é muito atraente”.
Alguns sinais de alerta comuns nesses tipos de golpes incluem instruções para desativar o software de segurança para permitir que o programa seja executado e arquivos protegidos por senha, segundo a Malwarebytes.
Neste caso, Segura diz que “os arquivos estão duplamente compactados, com o último arquivo zip protegido por senha. Para comparação, um executável legítimo não precisaria ser distribuído dessa forma.”
A empresa de análise blockchain Chainalysis relatou em seu Relatório de Crimes Cripto 2025 que os crimes relacionados a criptomoedas entraram em uma era profissionalizada dominada por golpes impulsionados por IA, lavagem de stablecoins e sindicatos cibernéticos eficientes. No último ano, a empresa estima que houve US$ 51 bilhões em volume de transações ilícitas.