又来了。AMOS Mac恶意软件卷土重来,这次它换了个新装。幕后黑手竟然伪装成Loom——一款拥有超过2000万用户的热门屏幕录制应用。.
你猜怎么着?他们居然用谷歌广告来引诱受害者,让整个骗局看起来无比正规。他们的计划是什么?诱骗毫无戒心的用户从一个虚假网站下载假冒的Loom软件。.
Moonlock Lab 的研究人员报告称,最新版本的 AMOS 窃取程序还会克隆合法的加密货币钱包应用程序,例如 Ledger Live。没错,AMOS 窃取程序正在用恶意克隆程序替换这些受信任的应用程序。.
一旦攻击者入侵你的Mac电脑,一切就都完了。你的加密货币钱包、浏览器数据、密码——统统都会落入他们手中。幕后黑手可能名为“疯狂邪恶”(Crazy Evil),组织严密,并且与俄罗斯网络犯罪团伙有关联。
人们会点击这些广告,以为他们得到了真正的优惠,但实际上,他们会被重定向到一个名为 smokecoffeeshop[.]com 的可疑网站。.
事情从那以后变得更加诡异。受害者最终会进入一个看起来和 Loom 网站一模一样的网站,但这其实是个陷阱。点击下载按钮后,砰——你的 Mac 就感染了新的 AMOS 窃取程序。.
这是黑市上一款功能齐全的产品。租用它每月可能要花费高达 3000 美元。为什么这么贵?因为这玩意儿无所不能。它能窃取文件、抓取浏览器历史记录、窃取dent、清空你的加密货币钱包——简直无所不能。.
各位,这可是顶级恶意软件。.
他们还克隆了其他应用程序——Figma、TunnelBlick(一款 VPN)、Callzy,甚至还有一个名为 BlackDesertPersonalContractforYouTubepartners[.]dmg 的奇怪案例。.
Moonlock在暗网上发现了一些线索,将Crazy Evil与这次活动联系起来。他们偶然发现了一则招募广告,该广告正在寻找人加入一个使用——你猜对了——AMOS窃取器的团队。.
这则广告甚至吹嘘它能够取代 macOS 上的“Ledger”,证实了在市面上发现的同一个 AMOS 版本正是这些人冒充 Loom 所推广的。
进一步调查发现,与此问题相关的 IP 地址是 85[.]28[.]0[.]47。当 Moonlock 通过 VirusTotal(一个检查恶意软件的网站)对该 IP 地址进行检测时,它标记了 93 个恶意文件。.
更令人惊讶的是——这些文件与俄罗斯政府机构有关联。巧合吗?也许是,但可能性不大。该IP地址的互联网服务提供商(ISP)被列为Gorodskaya elektronnaya svyaz Ltd,又名Gesnet[.]ru,一家俄罗斯公司。.
Gesnet 似乎运营着一个庞大的网络,但想找到关于他们的详细信息几乎是不可能的。俄罗斯的互联网服务提供商市场,说得委婉点,也是一片混乱,严格的法律使得外界几乎不可能了解真相。
目前来看,最好的防御就是进攻。保持警惕,不要点击可疑广告,为了加密货币的安全,请密切关注你的应用程序。.
