Und schon wieder geht es los. Die AMOS-Mac-Malware ist zurück und hat sich diesmal neu getarnt. Die skrupellosen Angreifer geben sich als Loom aus, die beliebte Bildschirmaufzeichnungs-App mit über 20 Millionen Nutzern.
Und raten Sie mal? Sie nutzen Google Ads, um Opfer anzulocken und die ganze Sache so seriös wie möglich aussehen zu lassen. Der Plan? Gutgläubige Nutzer dazu bringen, eine gefälschte Version von Loom von einer manipulierten Website herunterzuladen.
Forscher von Moonlock Lab berichten, dass diese neueste Version auch legitime Krypto-Wallet-Apps wie Ledger Live klont. Ja, der AMOS-Stealer ersetzt diese vertrauenswürdigen Apps durch bösartige Klone.
Sobald Ihr Mac betroffen ist, ist es zu spät. Ihre Krypto-Wallets, Browserdaten, Passwörter – alles ist in Gefahr. Die dahinter steckende Gruppe, möglicherweise unter dem Namen „Crazy Evil“, scheint gut organisiert und mit russischen Cyberkriminellennetzwerken verbunden zu sein.
Die Leute würden auf diese Anzeigen klicken, weil sie denken, sie bekämen das Original, und stattdessen würden sie auf eine dubiose Webseite namens smokecoffeeshop[.]com weitergeleitet.
Von da an wurde es noch seltsamer. Die Opfer landeten auf einer Website, die der von Loom täuschend ähnlich sah, aber es war eine Falle. Ein Klick auf den Download-Button, und zack – der Mac war mit dem neuen AMOS-Stealer infiziert.
Auf dem Schwarzmarkt ist dieses Gerät ein echtes Profiprodukt. Die Miete kann bis zu 3.000 Dollar im Monat kosten. Und warum ist es so teuer? Weil es einfach alles kann. Es stiehlt Dateien, speichert den Browserverlauf, schnappt sichdentund leert Krypto-Wallets – kurzum, alles, was dazugehört.
Das ist erstklassige Malware, Leute.
Sie haben auch andere Apps geklont – Figma, TunnelBlick (ein VPN), Callzy und sogar einen bizarren Fall namens BlackDesertPersonalContractforYouTubepartners[.]dmg.
Moonlock fand im Darknet Hinweise, die Crazy Evil mit dieser Kampagne in Verbindung bringen. Sie stießen auf eine Rekrutierungsanzeige, in der nach Mitgliedern für ein Team gesucht wurde, das – wie man sich denken kann – den AMOS-Stealer einsetzte.
In dieser Anzeige wurde sogar damit geprahlt, dass sie „Ledger“ auf macOS ersetzen könne, was bestätigt, dass dieselbe AMOS-Version, die bereits in freier Wildbahn anzutreffen war, von diesen Leuten verbreitet wurde, die sich als Loom ausgaben.
Weitere Nachforschungen ergaben, dass mit diesem Problem eine IP-Adresse in Verbindung steht – 85[.]28[.]0[.]47. Als Moonlock diese IP-Adresse über VirusTotal, eine Website zur Überprüfung auf Schadsoftware, abfragte, wurden 93 Dateien als schädlich gekennzeichnet.
Und jetzt kommt's: Diese Dateien hatten Verbindungen zu einer russischen Regierungsbehörde. Zufall? Vielleicht, aber wohl eher nicht. Der Internetdienstanbieter (ISP) der IP-Adresse war Gorodskaya elektronnaya svyaz Ltd, auch bekannt als Gesnet[.]ru, ein russisches Unternehmen.
Gesnet betreibt offenbar ein großes Netzwerk, doch detaillierte Informationen darüber sind kaum zu finden. Der russische Markt für Internetanbieter ist, gelinde gesagt, undurchsichtig, und strenge Gesetze machen Transparenz für Außenstehende nahezu unmöglich.
Aktuell ist Angriff die beste Verteidigung. Bleiben Sie wachsam, klicken Sie nicht auf verdächtige Anzeigen und behalten Sie Ihre Apps im Auge – im Interesse von Kryptowährungen.
