新型AMOS恶意软件正在Mac电脑上克隆加密货币钱包应用程序

又来了。AMOS Mac恶意软件卷土重来，这次它换了个新装。幕后黑手竟然伪装成Loom——一款拥有超过2000万用户的热门屏幕录制应用。.

你猜怎么着？他们居然用谷歌广告来引诱受害者，让整个骗局看起来无比正规。他们的计划是什么？诱骗毫无戒心的用户从一个虚假网站下载假冒的Loom软件。.

Moonlock Lab 的研究人员报告称，最新版本的 AMOS 窃取程序还会克隆合法的加密货币钱包应用程序，例如 Ledger Live。没错，AMOS 窃取程序正在用恶意克隆程序替换这些受信任的应用程序。.

一旦攻击者入侵你的Mac电脑，一切就都完了。你的加密货币钱包、浏览器数据、密码——统统都会落入他们手中。 幕后黑手可能名为“疯狂邪恶”（Crazy Evil），组织严密，并且与俄罗斯网络犯罪团伙有关联。

人们会点击这些广告，以为他们得到了真正的优惠，但实际上，他们会被重定向到一个名为 smokecoffeeshop[.]com 的可疑网站。. 

事情从那以后变得更加诡异。受害者最终会进入一个看起来和 Loom 网站一模一样的网站，但这其实是个陷阱。点击下载按钮后，砰——你的 Mac 就感染了新的 AMOS 窃取程序。.

这是黑市上一款功能齐全的产品。租用它每月可能要花费高达 3000 美元。为什么这么贵？因为这玩意儿无所不能。它能窃取文件、抓取浏览器历史记录、窃取dent、清空你的加密货币钱包——简直无所不能。. 

各位，这可是顶级恶意软件。.

他们还克隆了其他应用程序——Figma、TunnelBlick（一款 VPN）、Callzy，甚至还有一个名为 BlackDesertPersonalContractforYouTubepartners[.]dmg 的奇怪案例。.

Moonlock在暗网上发现了一些线索，将Crazy Evil与这次活动联系起来。他们偶然发现了一则招募广告，该广告正在寻找人加入一个使用——你猜对了——AMOS窃取器的团队。. 

这则广告甚至吹嘘它能够取代 macOS 上的“Ledger”，证实了在市面上发现的同一个 AMOS 版本正是这些人冒充 Loom 所推广的。 

进一步调查发现，与此问题相关的 IP 地址是 85[.]28[.]0[.]47。当 Moonlock 通过 VirusTotal（一个检查恶意软件的网站）对该 IP 地址进行检测时，它标记了 93 个恶意文件。. 

更令人惊讶的是——这些文件与俄罗斯政府机构有关联。巧合吗？也许是，但可能性不大。该IP地址的互联网服务提供商（ISP）被列为Gorodskaya elektronnaya svyaz Ltd，又名Gesnet[.]ru，一家俄罗斯公司。. 

Gesnet 似乎运营着一个庞大的网络，但想找到关于他们的详细信息几乎是不可能的。俄罗斯的互联网服务提供商市场，说得委婉点，也是一片混乱，严格的法律使得外界几乎不可能了解 真相 。

目前来看，最好的防御就是进攻。保持警惕，不要点击可疑广告，为了加密货币的安全，请密切关注你的应用程序。.