وها نحن ذا من جديد. عادت برمجية AMOS الخبيثة لأجهزة Mac إلى الظهور، وهذه المرة متخفية بزيّ جديد. فقد قرر المختلون عقلياً الذين يقفون وراء هذا الهجوم انتحال شخصية تطبيق Loom، تطبيق تسجيل الشاشة الشهير الذي يستخدمه أكثر من 20 مليون مستخدم.
وتخيلوا ماذا؟ إنهم يستخدمون إعلانات جوجل لجذب الضحايا، مما يجعل هذه العملية تبدو شرعية تمامًا. ما هي الخطة؟ إقناع المستخدمين غير المشتبه بهم بتحميل نسخة مزيفة من برنامج Loom من موقع ويب وهمي.
أفاد باحثون في مختبر مونلوك أن هذا الإصدار الأخير يستنسخ أيضاً تطبيقات محافظ العملات الرقمية الشرعية، مثل ليدجر لايف. نعم، يقوم برنامج سرقة بيانات العملات الرقمية (AMOS) باستبدال هذه التطبيقات الموثوقة بنسخ خبيثة.
بمجرد دخولها إلى جهاز ماك الخاص بك، ينتهي كل شيء. محافظ العملات الرقمية، وبيانات المتصفح، وكلمات المرور الخاصة بك - كلها في متناول اليد. يبدو أن المجموعة التي تقف وراء هذا، والتي يُحتمل أن تُسمى "كريزي إيفل"، منظمة تنظيماً جيداً ومرتبطة بشبكات الجريمة الإلكترونية الروسية.
كان الناس ينقرون على هذه الإعلانات، معتقدين أنهم يحصلون على المنتج الحقيقي، ولكن بدلاً من ذلك، يتم إعادة توجيههم إلى موقع مشبوه يسمى smokecoffeeshop[.]com.
ومن هنا، ازدادت الأمور غرابة. ينتهي المطاف بالضحايا على موقع إلكتروني يشبه موقع Loom تمامًا، ولكنه فخ. بنقرة واحدة على زر التنزيل، وفجأة - يُصاب جهاز Mac الخاص بك ببرنامج AMOS الجديد لسرقة البيانات.
هذا منتج متطور يُباع في السوق السوداء. قد تصل تكلفة تأجيره إلى 3000 دولار شهريًا. لماذا هو باهظ الثمن؟ لأنه يقوم بكل شيء. يسرق الملفات، ويجمع سجل التصفح، ويحصل على بياناتdent، ويفرغ محافظ العملات الرقمية - باختصار، يقوم بكل شيء.
هذا برنامج خبيث من الدرجة الأولى يا جماعة.
لقد قاموا باستنساخ تطبيقات أخرى أيضًا - Figma و TunnelBlick (شبكة VPN) و Callzy وحتى حالة غريبة تسمى BlackDesertPersonalContractforYouTubepartners[.]dmg.
عثرت شركة مونلوك على بعض الأدلة التي تربط شركة كريزي إيفل بهذه الحملة على الإنترنت المظلم. وقد عثروا بالصدفة على إعلان توظيف يبحث عن أشخاص للانضمام إلى فريق يستخدم - كما توقعتم - أداة سرقة البيانات AMOS.
بل إن هذا الإعلان تفاخر بقدرته على استبدال "Ledger" على نظام macOS، مما يؤكد أن نفس إصدار AMOS الموجود في السوق يتم الترويج له من قبل هؤلاء الأشخاص، الذين ينتحلون شخصية Loom.
كشف المزيد من البحث عن عنوان IP مرتبط بهذه المشكلة - 85[.]28[.]0[.]47. عندما قام Moonlock بتشغيل عنوان IP هذا من خلال VirusTotal، وهو موقع يتحقق من البرامج الضارة، قام بتصنيف 93 ملفًا على أنها ضارة.
والأمر المثير للدهشة أن تلك الملفات كانت مرتبطة بجهة حكومية روسية. هل هي مصادفة؟ ربما، ولكن على الأرجح لا. وقد تم إدراج مزود خدمة الإنترنت الخاص بعنوان IP باسم Gorodskaya elektronnaya svyaz Ltd، المعروفة أيضًا باسم Gesnet[.]ru، وهي شركة روسية.
يبدو أن شركة جيسنت تدير شبكة واسعة، لكن من الصعب العثور على أي معلومات تفصيلية عنها. سوق مزودي خدمة الإنترنت في روسيا غامض، على أقل تقدير، بقوانين صارمة تجعل الشفافية شبه مستحيلة بالنسبة للأجانب.
في الوقت الراهن، خير وسيلة للدفاع هي الهجوم. كن حذرًا، ولا تنقر على الإعلانات المشبوهة، ومن أجل العملات الرقمية، راقب تطبيقاتك جيدًا.
