Lá vamos nós de novo. O malware AMOS para Mac está de volta à ativa, e desta vez com um novo disfarce. Os psicopatas sorrateiros por trás desse ataque decidiram se passar pelo Loom, o popular aplicativo de gravação de tela com mais de 20 milhões de usuários.
E adivinhem? Eles estão usando anúncios do Google para atrair vítimas, fazendo com que a operação pareça totalmente legítima. O plano? Fazer com que usuários desavisados baixem uma versão falsa do Loom de um site fraudulento.
Pesquisadores do Moonlock Lab relatam que esta versão mais recente também está clonando aplicativos legítimos de carteiras de criptomoedas, como o Ledger Live. Sim, o ladrão AMOS está substituindo esses aplicativos confiáveis por clones maliciosos.
Uma vez instalado no seu Mac, acabou. Suas carteiras de criptomoedas, dados do navegador, senhas — tudo à mercê de quem as tiver. O grupo por trás disso, possivelmente chamado de “Crazy Evil”, parece bem organizado e ligado a redes de cibercriminosos russos.
As pessoas clicavam nesses anúncios, pensando que estavam comprando algo legítimo, e em vez disso, eram redirecionadas para um site suspeito chamado smokecoffeeshop[.]com.
A partir daí, as coisas ficaram ainda mais estranhas. As vítimas acabavam em um site idêntico ao do Loom, mas era uma armadilha. Um clique no botão de download e pronto — seu Mac estava infectado com o novo ladrão de arquivos AMOS.
Este é um produto sofisticado no mercado negro. Alugá-lo pode custar até US$ 3.000 por mês. E por que tão caro? Porque ele faz tudo. Rouba arquivos, captura o histórico do navegador, obtémdent, esvazia suas carteiras de criptomoedas — tudo o que você possa imaginar.
Este é um malware de primeira linha, pessoal.
Eles também clonaram outros aplicativos - Figma, TunnelBlick (uma VPN), Callzy e até mesmo um caso bizarro chamado BlackDesertPersonalContractforYouTubepartners[.]dmg.
A Moonlock encontrou algumas pistas ligando a Crazy Evil a essa campanha na dark web. Eles se depararam com um anúncio de recrutamento procurando pessoas para se juntarem a uma equipe que usa — você adivinhou — o dispositivo de roubo de sinal AMOS.
Este anúncio chegou a se gabar da capacidade do aplicativo de substituir o "Ledger" no macOS, confirmando que a mesma versão do AMOS encontrada por aí estava sendo promovida por esses caras, que se faziam passar pelo Loom.
Investigações adicionais revelaram um endereço IP associado a essa confusão: 85[.]28[.]0[.]47. Quando o Moonlock analisou esse IP no VirusTotal, um site que verifica a presença de malware, 93 arquivos foram sinalizados como maliciosos.
E veja só: esses arquivos tinham ligações com uma entidade do governo russo. Coincidência? Talvez, mas provavelmente não. O provedor de serviços de internet (ISP) do endereço IP constava como Gorodskaya elektronnaya svyaz Ltd, também conhecido como Gesnet[.]ru, uma empresa russa.
A Gesnet parece operar uma grande rede, mas boa sorte em encontrar informações detalhadas sobre ela. O mercado de ISPs na Rússia é, no mínimo, obscuro, com leis rígidas que tornam a transparência praticamente impossível para quem está de fora.
Por enquanto, a melhor defesa é um bom ataque. Mantenha-se vigilante, não clique em anúncios suspeitos e, pelo bem das criptomoedas, fique de olho nos seus aplicativos.
