新的AMOS恶意软件正在Mac上克隆加密钱包应用程序

所以，我们再来一次。AMOS Mac恶意软件又回来了，这一次它戴上了新的伪装。这次袭击背后的狡猾的精神病患者决定冒充Loom，这是一款拥有2000多万用户的流行屏幕录制应用程序。

你猜怎么着？他们正在使用谷歌广告吸引受害者，使这项行动看起来尽可能合法。计划？让毫无戒心的用户从虚假网站下载虚假版本的Loom。

图像将原始Loom站点与恶意Loom站点并排比较。

Moonlock实验室的研究人员报告说，这个最新版本也在克隆合法的加密钱包应用程序，如Ledger Live。是的，AMOS窃取者正在用恶意克隆取代这些受信任的应用程序。

一旦你在Mac上，游戏就结束了。你的加密钱包、浏览器数据、密码——所有这些都可以获取。这背后的组织，可能被称为“疯狂邪恶”，似乎组织严密，与俄罗斯网络犯罪网络有联系。

人们会点击这些广告，以为他们得到了真正的交易，相反，他们会被重定向到一个名为smokecoffee shop[.]com的粗略网站。

从那以后，事情变得更奇怪了。受害者最终会出现在一个看起来和Loom一模一样的网站上，但这是一个陷阱。点击下载按钮，然后砰的一声——你的Mac现在感染了新的AMOS窃取程序。

这是黑市上的精品。将其出租可能每月花费高达3000美元。为什么这么贵？因为这东西能解决所有问题。它窃取文件，获取浏览器历史记录，获取凭据，清空你的加密钱包——整整九码。

各位，这是顶级恶意软件。

他们也克隆了其他应用程序——Figma、TunnelBlick（一种VPN）、Callzy，甚至还有一个名为YouTube合作伙伴BlackDesert PersonalContract[.]dmg的奇怪案例。

Moonlock在暗网上发现了一些将疯狂邪恶与这场战役联系起来的线索。他们偶然发现了一则招聘广告，招聘人们加入一个使用AMOS偷窃者的团队。

这则广告甚至吹嘘它有能力在macOS上取代“Ledger”，证实了这些人冒充Loom推送了在野外发现的相同AMOS版本。

进一步的挖掘揭示了一个与这场混乱有关的IP地址——85[.]28[.]0[.]47。当Moonlock通过VirusTotal（一个检查恶意软件的网站）运行此IP时，它将93个文件标记为恶意。

这些文件与俄罗斯政府实体有联系。巧合？也许吧，但也许不是。IP的互联网服务提供商（ISP）被列为Gorodskaya elektronnaya svyaz Ltd，又名Gesnet[.]ru，一家俄罗斯公司。

Gesnet似乎运营着一个庞大的网络，但祝你好运，能找到关于他们的任何详细信息。至少可以说，俄罗斯ISP市场是不透明的，严格的法律使外界几乎不可能透明。

就目前而言，最好的防守就是进攻。保持警惕，不要点击阴暗的广告，出于对加密货币的热爱，请密切关注您的应用程序。