Avertissement aux traders : l'escroquerie « Premium TradingView gratuit pendant 1 an » installe un logiciel malveillant PowerShell sans fichier

(Un cas réel — partagé afin que d'autres ne deviennent pas victimes)

Une nouvelle escroquerie ciblant les traders se répand actuellement, en particulier parmi ceux qui utilisent TradingView ou des plateformes de crypto. L'escroquerie promet « Premium TradingView pour 1 an — GRATUIT » si vous installez une application bureau.

En réalité, l'installateur place un cheval de Troie PowerShell sans fichier (JSCEAL) qui exécute silencieusement des scripts malveillants en arrière-plan.

Cet article est basé sur un incident réel vécu par un trader — partagé pour aider les autres à rester en sécurité.

🎯 Comment fonctionne la fraude

• La victime voit une offre fictive :

  « TradingView Premium gratuit pendant 1 an »

  « Mise à niveau gratuite — aucun paiement requis »

  « Installez TradingView Desktop pour activer Premium »

• Le lien de téléchargement a cette apparence :

  hxxps://jimmywarting.github.io/StreamSaver.js/app-download-users.com/775981/installer.exe

  Ce n'est PAS TradingView.
  Ce n'est PAS un logiciel officiel.
  Ce n'est PAS provenant de Microsoft ou de GitHub.

  Les escrocs utilisent GitHub Pages pour donner l'air fiable à l'URL.

• La victime télécharge et exécute installer.exe.

L'« installateur » crée secrètement une tâche planifiée Windows :

MicrosoftResourcesInstallerV1-vzp7j

À l'intérieur de la tâche se trouvent plusieurs commandes :

powershell -NoProfile -EncodedCommand ...

Ce sont des scripts malveillants encodés en base64, connus sous le nom de charges utiles de cheval de Troie fileless JSCEAL.

🧨 Pourquoi JSCEAL est dangereux

JSCEAL est un malware PowerShell sans fichier, ce qui signifie :

• Aucun fichier virus n'est déposé sur le disque

• Le code s'exécute entièrement en mémoire

• Persistant via une tâche planifiée

• Difficile à détecter pour les antivirus traditionnels

• Peut voler les données et les sessions du navigateur

• S'exécute en silence avec des privilèges SYSTEM

  Dans ce cas réel, l'antivirus ESET a détecté :

  Cheval de Troie PowerShell/JSCeal.B

  via AMSI (interface de script malveillant)

🔍 Comment la victime a remarqué qu’il y avait un problème

À chaque ouverture de TradingView dans le navigateur, ESET affichait répétitivement des avertissements :

• PowerShell lançant des scripts encodés suspects

• Exécution bloquée par AMSI

• Activité liée aux modules PowerShell

Mais :

• Aucun programme TradingView n'existait dans le Panneau de configuration

• Aucun fichier TradingView Desktop installé

• Aucun service malveillant ni entrée de registre

• Rien de suspect dans AppData

• Pourtant, PowerShell continuait à s'exécuter

Après une enquête approfondie, la cause racine a été trouvée :

👉 Une tâche planifiée cachée créée par le faux « installateur TradingView ».

🛠 Comment supprimer le malware (solution complète)

Si vous avez cliqué sur un lien similaire, suivez ces étapes immédiatement :

✔ ÉTAPE 1 — Supprimer la tâche planifiée malveillante

Exécutez PowerShell en tant qu'administrateur :

schtasks /delete /tn MicrosoftResourcesInstallerV1-vzp7j /f

Cela supprime la persistance du malware.

✔ ÉTAPE 2 — Vider le cache du navigateur & le service worker

Fermez complètement Microsoft Edge, puis supprimez :

%LocalAppData%\Microsoft\Edge\User Data\Default\Service Worker

%LocalAppData%\Microsoft\Edge\User Data\Default\Code Cache

%LocalAppData%\Microsoft\Edge\User Data\Default\Cache

Cela efface les scripts malveillants laissés par le site d'escroquerie.

✔ ÉTAPE 3 — Réinitialiser Microsoft Edge

Paramètres → Réinitialiser → Restaurer les paramètres par défaut.

✔ ÉTAPE 4 — Analyse antivirus complète

Effectuez une analyse approfondie avec ESET, Malwarebytes ou Windows Defender.

✔ ÉTAPE 5 — Changer les mots de passe importants

En particulier :

• Courriel

• TradingView

• Binance

• Banque en ligne / portefeuilles

Utilisez un appareil sécurisé pour les modifier.

🟩 Leçons apprises

1. TradingView ne donne jamais de plans Premium gratuits de 1 an.

2. Téléchargez uniquement TradingView depuis le site officiel :

   https://www.tradingview.com/desktop/

3. Les liens GitHub Pages peuvent être exploités par les escrocs.

4. Commandes PowerShell encodées dans les tâches planifiées = presque toujours malveillantes.

5. Les logiciels malveillants sans fichier sont plus difficiles à détecter et à supprimer que les virus .exe classiques.

🟧 Avertissement final

Les escrocs adorent s'immiscer dans des plateformes populaires comme :

• TradingView

• Binance

  

  BTC

  69,795.3

  +1.26%

• MetaTrader

• Échanges de cryptomonnaies

Ils ciblent les traders à la recherche d'outils, de réductions ou de mises à niveau.

Si quelque chose prétend être « premium gratuit », « accès à vie » ou « mise à niveau de 1 an », supposez toujours qu’il s’agit d’une escroquerie, sauf confirmation par le site officiel.

Restez vigilant et gardez votre système propre. Bon trading !

$BTC #PhishingPrevention