E ci risiamo. Il malware AMOS per Mac è tornato in gioco, e questa volta con una nuova maschera. Gli psicopatici dietro questo attacco hanno deciso di impersonare Loom, la popolare app di registrazione dello schermo con oltre 20 milioni di utenti.
E indovinate un po'? Stanno usando Google Ads per attirare vittime, facendo sembrare questa operazione il più legittima possibile. Il piano? Indurre gli ignari utenti a scaricare una versione falsa di Loom da un sito web fasullo.
I ricercatori del Moonlock Lab segnalano che quest'ultima versione sta clonando anche app di wallet di criptovalute legittime, come Ledger Live. Esatto, il ladro di AMOS sta sostituendo queste app affidabili con cloni dannosi.
Una volta sul tuo Mac, è game over. I tuoi portafogli crittografici, i dati del browser, le password: tutto a portata di mano. Il gruppo dietro tutto questo, forse chiamato "Crazy Evil", sembra ben organizzato e collegato alle reti di criminalità informatica russe.
Le persone cliccavano su questi annunci, pensando di ottenere il vero affare, e invece venivano reindirizzate a un sito sospetto chiamato smokecoffeeshop[.]com.
Da lì, le cose si sono fatte più strane. Le vittime finivano su un sito web identico a quello di Loom, ma in realtà era una trappola. Un clic sul pulsante di download e... boom! Il tuo Mac è ora infettato dal nuovo ladro di AMOS.
Questo è un prodotto raffinato sul mercato nero. Noleggiarlo potrebbe costare fino a 3.000 dollari al mese. E perché così costoso? Perché questo aggeggio fa tutto. Ruba file, ruba la cronologia del browser, si appropria delledent, svuota i tuoi portafogli di criptovalute... tutto il necessario.
Questo è un malware di prima categoria, gente.
Hanno clonato anche altre app: Figma, TunnelBlick (una VPN), Callzy e persino un caso bizzarro chiamato BlackDesertPersonalContractforYouTubepartners[.]dmg.
Moonlock ha trovato alcuni indizi che collegano Crazy Evil a questa campagna sul dark web. Si sono imbattuti in un annuncio di reclutamento che cercava persone da inserire in un team che utilizzasse – avete indovinato – il ladro di AMOS.
Questa pubblicità si vantava addirittura della sua capacità di sostituire "Ledger" su macOS, confermando che la stessa versione di AMOS trovata in circolazione era stata promossa da questi ragazzi, che impersonavano Loom.
Ulteriori approfondimenti hanno rivelato un indirizzo IP collegato a questo pasticcio: 85[.]28[.]0[.]47. Quando Moonlock ha analizzato questo IP tramite VirusTotal, un sito che verifica la presenza di malware, ha segnalato 93 file come dannosi.
E sentite questa: quei file avevano collegamenti con un'entità governativa russa. Coincidenza? Forse, ma probabilmente no. Il fornitore di servizi Internet (ISP) dell'IP era indicato come Gorodskaya elektronnaya svyaz Ltd, alias Gesnet[.]ru, una società russa.
Gesnet sembra gestire una rete molto grande, ma è difficile trovare informazioni dettagliate al riguardo. Il mercato russo degli ISP è a dir poco torbido, con leggi rigide che rendono la trasparenza quasi impossibile per gli estranei.
Per ora, la miglior difesa è l'attacco. Siate vigili, non cliccate su annunci loschi e, per amore delle criptovalute, tenete d'occhio le vostre app.
