所以我們又來了。 AMOS Mac 惡意軟體又回來了,這次它換了個新裝。這次攻擊背後的狡猾瘋子決定冒充Loom,這是一款擁有超過2000 萬用戶的熱門螢幕錄製應用程式。
猜猜怎麼著?他們使用Google Ads 吸引受害者,讓這項行動看起來盡可能合法。計劃是什麼?讓毫無戒心的用戶從虛假網站下載假冒版本的Loom。
圖片將原始Loom 網站與惡意Loom 網站並排比較。
Moonlock Lab 的研究人員報告稱,最新版本還克隆了合法的數位貨幣包應用程序,例如Ledger Live。沒錯,AMOS 竊取者正在用惡意克隆取代這些受信任的應用程式。
一旦進入你的Mac,一切就結束了。你的數位貨幣包、瀏覽器數據、密碼——一切都可能被竊取。幕後黑手可能名為“Crazy Evil”,該組織似乎組織嚴密,與俄羅斯網路犯罪網絡有聯繫。
人們會點擊這些廣告,以為自己買到了正品,但實際上,他們會被重新導向到一個名為smokecoffeeshop 的可疑網站[.]com。
從那以後,事情變得更加奇怪。受害者最終會進入一個與Loom 一模一樣的網站,但這是一個陷阱。點擊下載按鈕,然後砰的一聲——你的Mac 現在被新的AMOS 竊取程式感染了。
這是黑市上一款精緻的產品。出租它每月的費用可能高達3,000 美元。為什麼這麼貴?因為這個東西無所不能。它竊取文件、竊取瀏覽器歷史記錄、獲取憑證、清空你的數位貨幣包——無所不能。
各位,這是頂級惡意軟體。
他們也複製了其他應用程式——Figma、TunnelBlick(一款VPN)、Callzy,甚至還有一款名為BlackDesertPersonalContractforYouTubepartners 的奇怪案例[.]傷害。
Moonlock 在暗網上發現了一些將Crazy Evil 與此活動連結起來的線索。他們偶然發現了一則招聘廣告,該廣告正在尋找使用AMOS 竊取程式的團隊。
這則廣告甚至吹噓它能夠取代macOS 上的“Ledger”,證實這些冒充Loom 的人所推廣的AMOS 版本與在野外發現的版本相同。
進一步挖礦發現與此問題相關的IP 位址是85[.]二十八[.]0[.]47. 當Moonlock 透過檢查惡意軟體的網站VirusTotal 來執行此IP 時,它將93 個檔案標記為惡意檔案。
值得注意的是,這些文件與俄羅斯政府實體有聯繫。巧合嗎?也許是,但可能不是。該IP 的網際網路服務供應商(ISP) 被列為Gorodskaya elektronnaya svyaz Ltd,又稱Gesnet[.]ru,一家俄羅斯公司。
Gesnet 似乎經營著一個大型網絡,但要找到有關他們的詳細信息,那可就麻煩了。俄羅斯的ISP 市場至少可以說是一片混亂,嚴格的法律幾乎讓外界無法了解情況。
目前,最好的防守就是進攻。保持警惕,不要點擊可疑廣告,出於對加密的熱愛,請留意您的應用程式。
資訊來源:由0x資訊編譯自CRYPTOPOLITAN。版權歸作者Jai Hamid所有,未經許可,不得轉載