Итак, снова в деле. Вредоносная программа AMOS для Mac вернулась, и на этот раз она прикрылась новой маской. Хитрые злоумышленники, стоящие за этой атакой, решили выдать себя за Loom, популярное приложение для записи экрана, которым пользуются более 20 миллионов человек.
И знаете что? Они используют рекламу Google, чтобы заманивать жертв, делая эту операцию максимально правдоподобной. План? Заставить ничего не подозревающих пользователей загрузить поддельную версию Loom с фальшивого сайта.
Исследователи из Moonlock Lab сообщают, что эта последняя версия также клонирует легитимные приложения для криптовалютных кошельков, такие как Ledger Live. Да, программа-вор AMOS заменяет эти доверенные приложения вредоносными клонами.
Как только вредоносная программа попадет на ваш Mac, игра окончена. Ваши криптокошельки, данные браузера, пароли — все может оказаться под угрозой. Группа, стоящая за этим, возможно, называемая «Crazy Evil», похоже, хорошо организована и связана с российскими киберпреступными сетями.
Люди кликали на эти объявления, думая, что получают настоящий товар, а вместо этого их перенаправляли на какой-то сомнительный сайт под названием smokecoffeeshop[.]com.
Дальше всё стало ещё страннее. Жертвы попадали на сайт, который выглядел точь-в-точь как сайт Loom, но это была ловушка. Один клик по кнопке загрузки — и вуаля — ваш Mac заражен новым похитителем AMOS.
Это высококачественный продукт, продающийся на чёрном рынке. Аренда может стоить до 3000 долларов в месяц. И почему так дорого? Потому что эта штука умеет всё. Она ворует файлы, собирает историю браузера, считываетdentданные, опустошает ваши криптовалютные кошельки — всё, что угодно.
Это первоклассное вредоносное ПО, друзья.
Они клонировали и другие приложения — Figma, TunnelBlick (VPN), Callzy и даже странный случай под названием BlackDesertPersonalContractforYouTubepartners[.]dmg.
В даркнете Moonlock нашли несколько улик, связывающих Crazy Evil с этой кампанией. Они наткнулись на объявление о наборе в команду, которая будет использовать — как вы уже догадались — устройство для кражи AMOS.
В этой рекламе даже хвастались возможностью заменить «Ledger» на macOS, подтверждая, что эти ребята, выдающие себя за Loom, продвигают ту же самую версию AMOS, которая встречается в сети.
Дальнейшее расследование выявило IP-адрес, связанный с этой проблемой — 85[.]28[.]0[.]47. Когда Moonlock проверил этот IP-адрес с помощью VirusTotal, сайта, проверяющего на наличие вредоносных программ, он пометил 93 файла как вредоносные.
И вот что интересно — эти файлы были связаны с российским государственным органом. Совпадение? Возможно, но, скорее всего, нет. В качестве интернет-провайдера (ISP) IP-адреса была указана компания «Городская электроннаяtronООО», также известная как «Геснет[.]ру», российская компания.
Компания Gesnet, похоже, управляет крупной сетью, но найти подробную информацию о ней будет непросто. Российский рынок интернет-провайдеров, мягко говоря, весьма туманен, с жесткими законами, которые делают прозрачность практически невозможной для посторонних.
На данный момент лучшая защита — это нападение. Будьте бдительны, не кликайте на сомнительную рекламу и, ради всего святого, следите за своими приложениями.
