マルウェア プログラム「Atomic MacOS」または「AMOS」に、ウォレット アプリを複製してユーザーから暗号通貨を盗む新しい機能が追加されました。

サイバーセキュリティ会社 Moonlock Lab の 8 月 5 日のレポートによると、このプログラムは再流行しており、同社は Google Adsense でこのプログラムが宣伝されているのを発見した。広告では、このプログラムは画面共有アプリ Loom、ユーザー インターフェイス デザイン ツール Figma、VPN TunnelBlick、インスタント メッセージング アプリ Callzy など、人気の MacOS プログラムになりすましていた。これらのアプリの開発者はいずれも、偽の AMOS マルウェア バージョンを承認していない。

Moonlock の研究者は、Loom を装ったバージョンに遭遇したときにこのマルウェアを発見しました。広告をクリックすると、smokecoffeeshop.com にリダイレクトされ、そこから再び Loom の Web サイトの偽バージョンにリダイレクトされました。

偽バージョンは本物と全く同じように見えました。しかし、ユーザーが「Loomを無料で入手」ボタンをクリックすると、正規のLoomプログラムではなく、「AMOSスティーラーの複雑なバージョン」がダウンロードされました。

AMOSは新しいプログラムではない。サイバーセキュリティ企業Cybleは、2023年4月にはすでにその存在を報告していた。Cybleによると、このプログラムは月額1,000ドルのサブスクリプションサービスとしてTelegram上でサイバー犯罪者に販売されていたという。

当時、このプログラムは、Electrum、MetaMask、Coinbase、Binance、Exodus、Atomic、Coinomiなど、50以上の異なる仮想通貨ウォレットをターゲットにすることができました。このプログラムは、ユーザーのコンピューター上でこれらのウォレットのいずれかを見つけると、ウォレットのデータを盗み、ユーザーの暗号化されたキーボールトファイルがAMOSに盗まれた可能性が高いことを示唆しているとCybleは主張しました。

キーボールト ファイルが盗まれた場合、特に被害者がウォレット アカウントを最初に作成したときに弱いパスワードを使用した場合、攻撃者はユーザーのウォレットを空にすることができます。

ムーンロックは、ソフトウェアが「新しい機能を持つ」バージョンを発見したため、現在では明らかにアップグレードされていると主張した。AMOSは現在、「特定の暗号通貨ウォレットアプリをクローンに置き換え、被害者の電子ウォレットを簡単に消去」できる。

具体的には、Ledger ハードウェア ウォレットの所有者が使用する Ledger Live ソフトウェアを複製できます。Moonlock は、この機能は「AMOS のバージョンではこれまで報告されたことがなく、悪意のあるプログラムにとって大きな進歩である」と強調しました。

Ledger デバイスは、PC にインストールされたマルウェアの手が届かないハードウェア デバイスに秘密鍵を保存し、ユーザーはデバイス上で各トランザクションを確認する必要があります。これにより、マルウェアが Ledger ユーザーから暗号資産を盗むことが困難になります。ただし、攻撃者が Ledger Live をクローン化する目的は、ユーザーの画面に偽の情報を表示し、ユーザーが誤って暗号資産を攻撃者に送るようにすることである可能性があります。

関連:Ledger CTOが仮想通貨ユーザーに「ブラインド署名」の危険性を警告

Ledger Live をクローンする機能よりもさらに問題なのは、このレポートでは、ソフトウェアの将来のバージョンが他のアプリをクローンする可能性があると指摘している点だ。これには、MetaMask や Trust Wallet などのソフトウェア ウォレットが含まれる可能性がある。「この新しいバージョンの AMOS が Ledger Live を偽の悪意のあるクローンに置き換えることができるのであれば、他のアプリでも同じことができる可能性がある」と Moonlock 氏は示唆している。

ソフトウェア ウォレットでは、すべての情報が PC モニターに直接表示されるため、不正な表示はさらに危険になります。

ムーンロックは、このソフトウェアの開発者がテレグラムで宣伝している「Crazy Evil」であると主張した。同グループは、AMOSソフトウェアがLedger Liveを複製できると自慢する募集広告を掲載したとされている。

Mac で暗号通貨ウォレット ソフトウェアを実行しているユーザーは、AMOS が特に自分のようなユーザーをターゲットにしていることに気付く必要があります。このマルウェアは一般に Google Adsense 広告を通じて配布されるため、バナーやディスプレイ広告で見つけた Web サイトからソフトウェアをダウンロードするかどうかを検討する際には、細心の注意を払う必要があります。Loom、Callzy、またはその他の人気プログラムのように見えるかもしれませんが、実際には AMOS のコピーです。

雑誌: 奇妙な「ヌルアドレス」iVest ハッキング、数百万台の PC が依然として「Sinkclose」マルウェアに脆弱: Crypto-Sec

ウェブサイトの信頼性に疑問がある場合は、検索エンジンにプログラム名を入力してオーガニック検索結果までスクロールダウンすると、アプリの公式ウェブサイトを効果的に見つけられる場合があります。これは、詐欺師は通常、アプリ名でオーガニック検索結果の上位にランクされるほどのドメイン権限を持っていないためです。

Google は、マルウェア プログラムが Google のプログラムを通じて宣伝されるのを防ぐためにフィルターを使用していますが、これらのフィルターは 100% 効果的ではありません。

マルウェアは、仮想通貨ユーザーにとって依然として深刻な脅威となっている。8月16日、サイバーセキュリティ企業チェックポイント・リサーチは、「クリッピング」と呼ばれる手法で仮想通貨を盗み出す同様の「窃盗」プログラムを発見した。5月13日、カスペルスキー研究所は、仮想通貨取引所を攻撃するために使用された「ドリアン」と呼ばれるマルウェアを発見した。