Aquí vamos de nuevo. El malware AMOS para Mac ha vuelto, y esta vez con un nuevo disfraz. Los sigilosos responsables de este ataque han decidido hacerse pasar por Loom, la popular aplicación de grabación de pantalla con más de 20 millones de usuarios.
¿Y adivina qué? Están usando Google Ads para atraer víctimas, haciendo que esta operación parezca lo más legítima posible. ¿El plan? Conseguir que usuarios desprevenidos descarguen una versión falsa de Loom de un sitio web falso.
Los investigadores de Moonlock Lab informan que esta última versión también está clonando aplicaciones legítimas de monederos de criptomonedas, como Ledger Live. En efecto, el ladrón de AMOS está reemplazando estas aplicaciones confiables con clones maliciosos.
Una vez en tu Mac, se acabó el juego. Tus monederos de criptomonedas, datos del navegador, contraseñas... todo está a la vista. El grupo detrás de esto, posiblemente llamado "Crazy Evil", parece estar bien organizado y vinculado a redes cibercriminales rusas.
La gente hacía clic en estos anuncios, pensando que estaban obteniendo el producto real, y en lugar de eso, eran redirigidos a un sitio sospechoso llamado smokecoffeeshop[.]com.
A partir de ahí, la cosa se puso más rara. Las víctimas acababan en un sitio web idéntico al de Loom, pero era una trampa. Un clic en el botón de descarga y ¡zas!: tu Mac ya está infectado con el nuevo ladrón de AMOS.
Este es un producto de alta gama en el mercado negro. Alquilarlo podría costar hasta $3,000 al mes. ¿Y por qué es tan caro? Porque lo hace todo: roba archivos, roba el historial del navegador, robadent, vacía tus billeteras de criptomonedas... todo el lío.
¡Este es un malware de primera calidad, amigos!
También han clonado otras aplicaciones: Figma, TunnelBlick (una VPN), Callzy e incluso un caso extraño llamado BlackDesertPersonalContractforYouTubepartners[.]dmg.
Moonlock encontró pistas que vinculaban a Crazy Evil con esta campaña en la dark web. Se toparon con un anuncio de reclutamiento que buscaba gente para unirse a un equipo usando, como ya habrás adivinado, el ladrón AMOS.
Este anuncio incluso se jactaba de su capacidad para reemplazar “Ledger” en macOS, lo que confirmaba que la misma versión de AMOS encontrada en circulación estaba siendo promocionada por estos tipos, haciéndose pasar por Loom.
Una investigación más profunda reveló una dirección IP vinculada a este desastre: 85[.]28[.]0[.]47. Cuando Moonlock la analizó en VirusTotal, un sitio web que busca malware, marcó 93 archivos como maliciosos.
Y, para colmo, esos archivos tenían conexiones con una entidad del gobierno ruso. ¿Coincidencia? Quizás, pero probablemente no. El proveedor de servicios de internet (ISP) de la IP figuraba como Gorodskaya elektronnaya svyaz Ltd, también conocida como Gesnet[.]ru, una empresa rusa.
Gesnet parece gestionar una red extensa, pero le deseamos suerte si encuentra información detallada sobre ellos. El mercado ruso de proveedores de servicios de internet es, como mínimo, turbio, con leyes estrictas que hacen casi imposible la transparencia para terceros.
Por ahora, la mejor defensa es un buen ataque. Mantente alerta, no hagas clic en anuncios sospechosos y, por amor a las criptomonedas, vigila tus aplicaciones.
