炒股人想白嫖高级行情,结果连账户带密码一起送。Hexastrike安全团队最近发现,Reddit上有人用「TradingView Premium破解版」当诱饵,Windows用户中招Vidar木马,Mac用户则被AMOS盯上——这活儿现在还在干,旧帖删了立刻换新帖。
TradingView本身是正经工具,全球散户、炒币的、玩外汇的都在用。Premium会员能看实时数据和高级指标,但月费劝退不少人。骗子就钻这个空子,在五个subreddit里发教程帖,手把手教你怎么「安装」,全程不带一个病毒警告。
这些社区看着像真的,其实全是假的。r/BitBullito只有2个订阅,r/CryptoCurrencyDM也才29个,发帖账号却都是三六年老号。有个叫u/BroadDepartment573的,挂着四年勋章,历史上只发过这一条帖——买号成本算进运营费了。
「软件已逆向工程,所有授权验证已移除」——每篇帖子都这同一套文案,LLM生成的,语气稳得像官方客服。下载链接分Windows、macOS、macOS 15三个版本,连苹果最新系统的Gatekeeper限制都考虑进去了。压缩包密码是「github」或「codeberg」,蹭开源平台的名头让你放松警惕。
Windows安装包故意塞到784MB,超过大多数杀毒软件的扫描上限。底下藏了个44KB的自解压文件,吐出一张叫Receipt.gif的「图片」——其实是235行混淆脚本,把Vidar木马碎片拼起来。Mac那边更讲究,DMG打开是TradingView官方风格的安装界面,217KB的二进制文件里埋着AMOS,运行时现解密。
Hexastrike说,这伙人的运营纪律比技术更吓人:域名一被标记立刻换,真用户的警告评论几分钟内删光。目前至少五个subreddit在同时运转,账号池还在扩容。想免费午餐的散户,正在成为人家的午餐。
热门跟贴