所以,我们再来一次。AMOS Mac恶意软件又回来了,这一次它戴上了新的伪装。这次袭击背后的狡猾的精神病患者已经决定
所以,我们再来一次。AMOS Mac恶意软件又回来了,这一次它戴上了新的伪装。这次袭击背后的狡猾的精神病患者决定冒充Loom,这是一款拥有2000多万用户的流行屏幕录制应用程序。
你猜怎么着?他们正在使用谷歌广告吸引受害者,使这项行动看起来尽可能合法。计划?让毫无戒心的用户从虚假网站下载虚假版本的Loom。
Moonlock实验室的研究人员报告说,这个最新版本也在克隆合法的加密钱包应用程序,如Ledger Live。是的,AMOS窃取者正在用恶意克隆取代这些受信任的应用程序。
一旦你在Mac上,游戏就结束了。你的加密钱包、浏览器数据、密码——所有这些都可以获取。这背后的组织,可能被称为“疯狂邪恶”,似乎组织严密,与俄罗斯网络犯罪网络有联系。
人们会点击这些广告,以为他们得到了真正的交易,相反,他们会被重定向到一个名为smokecoffee shop[.]com的粗略网站。
从那以后,事情变得更奇怪了。受害者最终会出现在一个看起来和Loom一模一样的网站上,但这是一个陷阱。点击下载按钮,然后砰的一声——你的Mac现在感染了新的AMOS窃取程序。
这是黑市上的精品。将其出租可能每月花费高达3000美元。为什么这么贵?因为这东西能解决所有问题。它窃取文件,获取浏览器历史记录,获取凭据,清空你的加密钱包——整整九码。
各位,这是顶级恶意软件。
他们也克隆了其他应用程序——Figma、TunnelBlick(一种VPN)、Callzy,甚至还有一个名为YouTube合作伙伴BlackDesert PersonalContract[.]dmg的奇怪案例。
Moonlock在暗网上发现了一些将疯狂邪恶与这场战役联系起来的线索。他们偶然发现了一则招聘广告,招聘人们加入一个使用AMOS偷窃者的团队。
这则广告甚至吹嘘它有能力在macOS上取代“Ledger”,证实了这些人冒充Loom推送了在野外发现的相同AMOS版本。
进一步的挖掘揭示了一个与这场混乱有关的IP地址——85[.]28[.]0[.]47。当Moonlock通过VirusTotal(一个检查恶意软件的网站)运行此IP时,它将93个文件标记为恶意。
这些文件与俄罗斯政府实体有联系。巧合?也许吧,但也许不是。IP的互联网服务提供商(ISP)被列为Gorodskaya elektronnaya svyaz Ltd,又名Gesnet[.]ru,一家俄罗斯公司。
Gesnet似乎运营着一个庞大的网络,但祝你好运,能找到关于他们的任何详细信息。至少可以说,俄罗斯ISP市场是不透明的,严格的法律使外界几乎不可能透明。
就目前而言,最好的防守就是进攻。保持警惕,不要点击阴暗的广告,出于对加密货币的热爱,请密切关注您的应用程序。
