Bot di trading o cavalli di Troia? Un falso sito di TradingView diffonde Needle Stealer su investitori ignari

Quando un bot di trading basato su IA, troppo bello per essere vero, promette di rivoluzionare i tuoi investimenti, potrebbe essere il tuo denaro - e la tua identità - a essere davvero a rischio. In una nuova svolta del cybercrimine finanziario, gli attori della minaccia stanno attirando i trader con una piattaforma TradingView contraffatta, usando un falso ben confezionato chiamato TradingClaw per scatenare il potente malware Needle Stealer.

Fatti rapidi

• Gli aggressori hanno creato un falso sito di TradingView per distribuire il malware Needle Stealer.
• Le vittime vengono prese di mira tramite email di phishing e annunci sui social per un finto “agente di trading IA”.
• Needle Stealer dirotta i browser, ruba credenziali ed esfiltra dati finanziari sensibili.
• Il falso agente installa malware persistente camuffato da strumenti di trading legittimi.
• Le varianti avanzate possono catturare screenshot e registrare i tasti premuti per un compromesso più profondo.

Lo schema inizia con un phishing ben congegnato: email e messaggi che pubblicizzano un rivoluzionario bot di trading basato su IA, presumibilmente integrato con TradingView. L’esca? Link a un sito ingannevole che imita il dominio reale di TradingView con sottili refusi - tipo “tradingview-aiagent[.]com” invece del legittimo tradingview.com. Il sito fraudolento abbaglia con video dimostrativi e promesse di insight di mercato automatizzati, inducendo anche trader esperti in un falso senso di sicurezza.

Fare clic sul pulsante “Download TradingClaw” avvia il vero colpo. Il download - un file ZIP apparentemente innocuo - contiene TradingClaw.exe, che funge da dropper per Needle Stealer. Identificato per la prima volta nei forum criminali a metà 2025, Needle Stealer è un info-stealer modulare progettato per operare sotto traccia. Una volta installato, si inietta in processi di browser fidati come Chrome e Firefox, raccogliendo silenziosamente schede aperte, cookie, dati di compilazione automatica e password salvate. Wallet di criptovalute, siti bancari e account di trading sono obiettivi privilegiati.

Ciò che rende questa campagna particolarmente pericolosa è la sua persistenza. Il falso agente TradingClaw si installa come estensione del browser o come attività pianificata ricorrente, mascherandosi da “AI Optimizer”. Le vittime vedono grafici e avvisi di trading falsi, restando distratte mentre i loro dati finanziari vengono sottratti e inviati a server controllati dagli aggressori. Il malware usa tecniche avanzate come gli algoritmi di generazione di domini per ruotare i propri endpoint di comando e controllo, eludendo blocchi di sicurezza e operazioni di takedown.

Alcuni campioni di Needle Stealer si spingono ancora oltre, catturando screenshot e registrando i tasti premuti - potenzialmente aprendo la strada a ransomware o a ulteriori takeover degli account. Tutti i dati esfiltrati vengono compressi in un archivio e inviati tramite canali cifrati, rendendo il rilevamento ancora più difficile per i team di sicurezza.

Gli esperti avvertono che piattaforme legittime come TradingView non distribuiscono mai agenti IA tramite email non richieste. Gli utenti dovrebbero sempre verificare gli URL, scansionare i download con strumenti affidabili e abilitare le protezioni del browser. In caso di infezione, i passi immediati includono l’avvio in Modalità provvisoria, la scansione con software di sicurezza aggiornato e la reimpostazione di tutte le credenziali compromesse da un dispositivo pulito. Per le organizzazioni, l’adozione di soluzioni di endpoint detection and response (EDR) è cruciale per individuare l’iniezione di processi e flussi di dati anomali.

Man mano che i criminali informatici fondono ingegneria sociale e sofisticazione tecnica, il confine tra strumenti fintech affidabili e impostori malevoli diventa pericolosamente sottile. Restare vigili - sia come individui sia come organizzazioni - rimane la migliore difesa contro questi furti digitali in continua evoluzione.

TECHCROOK

Bitdefender Total Security è una suite di protezione endpoint adatta a scenari come campagne di phishing e info-stealer (es. Needle Stealer) che arrivano tramite ZIP ed eseguibili camuffati da tool di trading. Integra motore antimalware con analisi comportamentale per intercettare dropper, persistenza (attività pianificate/estensioni sospette) e tentativi di furto credenziali dai browser. Include protezione web/anti-phishing per bloccare domini typosquatting, controllo dei download e scansione in tempo reale, oltre a funzioni di remediation per ripulire modifiche malevole. Utile anche per ridurre il rischio di keylogging e di esfiltrazione dati grazie al monitoraggio delle attività anomale. Il prodotto è disponibile su diversi canali e si può acquistare anche su Amazon.

WIKICROOK

• Dropper: Un dropper è un tipo di malware che installa di nascosto ulteriori programmi malevoli su un dispositivo infetto, aiutando gli aggressori ad aggirare le misure di sicurezza.
• Info: Un info-stealer è un malware che raccoglie segretamente dati sensibili come password e dettagli finanziari dai dispositivi infetti e li invia ai criminali informatici.
• Persistenza: La persistenza comprende tecniche usate dal malware per sopravvivere ai riavvii e restare nascosto nei sistemi, spesso imitando processi o aggiornamenti legittimi.
• Algoritmo di generazione di domini (DGA): Un DGA crea molti domini che il malware può usare per contattare i server C2, aiutando gli aggressori a eludere il rilevamento e gli sforzi di takedown.
• Iniezione di processo: L’iniezione di processo avviene quando il malware si nasconde all’interno di processi software legittimi, rendendo più difficile per gli strumenti di sicurezza rilevare e rimuovere la minaccia.