さあ、またか。AMOS Macマルウェアが再び姿を現しました。今回は新たな姿で。この攻撃の背後にいる卑劣な犯罪者たちは、2000万人以上のユーザーを抱える人気のスクリーンレコーディングアプリ「Loom」を装うことに決めたようです。.
そして、なんと彼らはGoogle広告を使って被害者を誘い込み、この活動をいかにも本物らしく見せかけているのです。その狙いとは? 何も知らないユーザーに偽のウェブサイトからLoomの偽バージョンをダウンロードさせることです。.
Moonlock Labの研究者によると、この最新バージョンはLedger Liveなどの正規の暗号資産ウォレットアプリもクローン化しているとのことです。そうです、AMOS Stealerはこれらの信頼できるアプリを悪意のあるクローンに置き換えているのです。.
侵入したら、もう終わりです。仮想通貨ウォレット、ブラウザデータ、パスワード、すべてが狙われます。この背後にいるグループは「Crazy Evil」と呼ばれる可能性があり、組織化されており、ロシアのサイバー犯罪ネットワークとつながりがあるようです。
人々は本物をゲットできると思ってこれらの広告をクリックしますが、実際には、smokecoffeeshop[.]com という怪しいサイトにリダイレクトされます。.
そこから事態はさらに奇妙になっていった。被害者はLoomとそっくりなウェブサイトにたどり着くが、それは罠だった。ダウンロードボタンをクリックするだけで、Macは新しいAMOSスティーラーに感染してしまうのだ。.
これはブラックマーケットで出回っている洗練された製品です。レンタルすると月額3,000ドルかかることもあります。なぜこんなに高いのか?それは、このデバイスが何でもできるからです。ファイルの盗難、ブラウザ履歴の取得、dent情報の取得、仮想通貨ウォレットの空っぽ化など、あらゆることが可能です。.
これは最高級のマルウェアです。.
彼らは他のアプリもクローン化しています。Figma、TunnelBlick(VPN)、Callzy、さらにはBlackDesertPersonalContractforYouTubepartners[.]dmgと呼ばれる奇妙なケースもあります。.
Moonlockはダークウェブ上で、Crazy Evilと今回のキャンペーンを結びつける手がかりをいくつか発見しました。彼らは、AMOS Stealerを使用するチームへの参加を募集する募集広告を偶然発見しました。.
この広告では、macOS 上の「Ledger」を置き換える機能まで自慢しており、実際に見つかったものと同じ AMOS バージョンが、Loom になりすましたこれらの人々によって推進されていることが確認されています。.
さらに調査を進めると、この混乱に関連するIPアドレス(85[.]28[.]0[.]47)が判明しました。MoonlockがこのIPをマルウェアチェックサイトVirusTotalで調べたところ、93個のファイルが悪意のあるファイルとして検出されました。.
そして、驚くべきことに、これらのファイルはロシア政府機関と関連していた。偶然だろうか?もしかしたらそうかもしれないが、おそらくそうではないだろう。IPアドレスのインターネットサービスプロバイダー(ISP)は、ロシア企業「Gorodskaya elektronnaya svyaz Ltd」(別名Gesnet[.]ru)として登録されていた。.
Gesnetは大規模なネットワークを運営しているようですが、詳細な情報を見つけるのは難しいでしょう。ロシアのISP市場は、控えめに言っても不透明で、厳格な法律によっての。
今のところ、最善の防御は強力な攻撃です。警戒を怠らず、怪しい広告をクリックせず、そして暗号通貨を愛する皆さんのために、アプリには十分注意してください。.
