文章总结： 攻击者通过劫持或新建Reddit子版块，利用破解版TradingViewPremium作为诱饵分发Vidar和AMOS信息窃取程序。攻击使用被入侵的合法网站托管恶意载荷，采用密码保护压缩包绕过安全检测，并针对Windows和macOS系统分别部署混淆批处理脚本和原生二进制文件。该活动自2025年持续运作，通过LLM生成内容营造虚假社区互动，并实时删除负面评论以维持欺骗性。 综合评分： 87 文章分类： 恶意软件,威胁情报,WEB安全,社交工程学,漏洞预警

macOS 有效载荷

macOS 变种的感染链与已知的 AMOS 窃取程序分发方式一致，但具有自身独特的传播特性。下载链接指向一个受密码保护的 ZIP 文件，其中包含一个磁盘映像 (DMG)  TradingView.dmg。挂载 DMG 文件后，用户会看到一个看似标准的 macOS 应用程序安装程序，背景图片模仿了 TradingView 的风格。该应用程序是一个通用 Mach-O 二进制文件，已针对 Intel x86_64 和 Apple Silicon ARM64 架构编译，确保其能在过去十年销售的所有 Mac 电脑上原生运行。在通过 [此处应填写分发方式] 分发的版本中 ghatreh[.]co，该二进制文件以裸可执行文件的形式提供，没有 .app 捆绑包；而仅仅三分钟后创建的第二个版本则将相同的有效载荷打包到一个完整的 TradingView.app 捆绑包中，其中包含 [此处应填写捆绑包名称] Info.plist 和应用程序图标。这表明运营商同时测试了两种分发格式。macOS 的有效载荷仅为 217 KB，与 Windows 版本相比，体积非常小巧。该二进制文件使用 C++ 编写，仅链接到 <script> libc++ 和  libSystem<script> 库，从而最大限度地减少了导入占用空间。它包含一个约 49 KB 的加密有效载荷，存储在其 &nbsp;<head>&nbsp;__const  段中。运行时，该二进制文件调用一个名为 xor 的函数 crypt<49833> ，该函数逐字节遍历加密数据块，并将每个字节与滚动伪随机数生成器 (PRNG) 状态的低字节进行异或运算。该 PRNG 是一个乘法线性同余生成器，其乘数为 14213，模数由嵌入在二进制文件中的时间种子派生而来。每个构建版本都使用唯一的种子和模数组合，使得加密有效载荷在不同版本之间具有多态性，同时保持解密逻辑相同。解密后的输出是一个庞大的 AppleScript 命令字符串，直接传递给 C system() 函数执行。

解密后的 AppleScript 有效载荷是一个 AMOS 窃取程序。它首先隐藏终端窗口，然后通过验证本地 macOS 帐户密码来 dscl . authonly 静默解锁钥匙串访问权限。之后，它会系统性地从 Chrome、Firefox、Safari、Brave、Edge 和 Opera 浏览器中窃取数据，包括登录凭据、Cookie、自动填充条目和存储的信用卡数据。它还会复制 Exodus、Electrum 和 MetaMask 的加密货币钱包文件，抓取 Telegram 会话数据，收集硬件 UUID 和完整的系统配置文件 system_profiler，并且采取了一种特别激进的手段：下载并安装一个伪造的 Ledger 硬件钱包应用程序到 /Applications 目标文件夹中。所有窃取的数据都会被打包成 ZIP 压缩文件 ditto ，并通过 HTTP POST 请求发送到一个硬编码的命令与控制服务器。每个请求的 HTTP 标头中都包含一个唯一的构建标识符，使操作者能够追踪是哪个攻击活动和有效载荷变体生成了被盗数据。

检测与预防

发现此次攻击活动主要针对非企业用户的个人设备，这与攻击者瞄准个人零售交易者和加密货币爱好者的策略相符。然而，企业机构不应掉以轻心。那些在业余时间交易加密货币或关注金融市场的用户，很可能在工作设备上下载这些文件，尤其是在远程办公时。

对于组织机构，建议将已识别的分发域名添加到 Web 代理和 DNS 黑名单中。作为一项通用的安全措施，在电子邮件和 Web 网关层面阻止下载受密码保护的 ZIP 和 7z 压缩文件，可显著降低此类传播方式带来的风险。拥有 Web 代理日志访问权限的安全团队还应查找是否存在这样的模式：在浏览 Reddit 后不久，用户会从无关域名下载大型 ZIP 文件。这种行为链是此次特定攻击活动的有力指标。

在 Windows 终端上，应检查是否 存在启用延迟变量扩展的wextract.exe 进程 cmd.exe 、资源段异常膨胀的大型可执行文件，以及执行顺序 copy /b 操作以从文件碎片重新组装文件的批处理脚本。在 macOS 上，应监控是否存在未签名或临时签名的应用程序  在启动后立即 执行osascript 或调用 、 尝试验证用户凭据的意外调用、  在临时目录中创建 ZIP 压缩包，以及不应建立网络连接的进程发出的出站 HTTP POST 流量。system()``dscl . authonly``ditto用户安全意识仍然至关重要。员工和个人都应该明白，下载破解软件是当今网络犯罪分子最常用的感染途径之一。免费高级软件的承诺几乎总是陷阱。如果您不确定自己是否受到影响，请查找 AMOS 和 Vidar 窃取程序感染的已知迹象。如有任何疑问，请将其视为已确认的入侵，并立即启动事件响应程序。鉴于这些窃取程序会收集大量数据，一旦入侵，所有浏览器保存的密码、活动会话 cookie、加密货币钱包密钥和本地存储的令牌都可能已泄露。

此次攻击活动之所以有效，并非因为技术高超，而是因为其严密的运作机制。攻击者维护着他们的Reddit子版块，实时删除警告评论，在域名被标记后轮换使用被入侵的托管基础设施，并针对三个不同的平台定制攻击载荷。老旧的Reddit账户、LLM生成的极具说服力的文案以及被劫持的合法网站，共同构建了一个平台难以检测、用户却极易信任的传播渠道。只要人们还在寻找付费软件的免费版本，此类攻击活动就会继续找到受害者。

IOC

Reddit帖子

• hxxps[://]www[.]reddit[.]com/r/BitBullito/comments/1o0ptij/free_tradingview_premium_unlocked_edition_for/
• hxxps[://]www[.]reddit[.]com/r/CryptoCurrencyDM/comments/1rbhg3l/tradingview_premium_free_v3120743_fully_unlocked/
• hxxps[://]www[.]reddit[.]com/r/ForexWinchester/comments/1o159qb/free_tradingview_premium_new_update_winmacos/
• hxxps[://]www[.]reddit[.]com/r/FXPulse/comments/1o7cq6m/tradingview_free_v21307353_september_2025_desktop/
• hxxps[://]www[.]reddit[.]com/r/GitHub_Source/comments/1s33skm/tradingview_premium_lifetime_edition_v296_windows/

域名

• fotoflux[.]com
• ghatreh[.]co
• hitechprovider[.]com
• techadapt[.]io
• qwayglobalventures[.]com

HASH

• 9867207751793bcf7ebcba467b16b61cd79bbb8cd90c6f33e55141770c967a43 （Windows存档）
• af547cdc1b7a9dfa507257ee416a9f2b20b85444b5d6f2f080019250426e4394 （macOS 归档）
• 61191267f2d8625268cd7e488a16ab5c7b67765fb2b9bc76e4d2d97def83395a （macOS 15+ 归档）

C2基础设施

• 217[.]119[.]139[.]117
• 135[.]181[.]233[.]224

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 hexastrike hexastrike《Reddit TradingView 诱饵引诱 Vidar 和 AMOS 窃取者》