恶意软件程序“Atomic MacOS”或“AMOS”现在具有一项新功能,可以克隆钱包应用程序并窃取用户的加密货币。
根据网络安全公司 Moonlock Lab 8 月 5 日的报告,该程序正在复苏,该公司发现它正在通过 Google Adsense 进行广告宣传。在广告中,它伪装成流行的 MacOS 程序,包括屏幕共享应用程序 Loom、用户界面设计工具 Figma、VPN TunnelBlick 和即时通讯应用程序 Callzy。这些应用程序的开发人员均未授权伪造的 AMOS 恶意软件版本。
Moonlock 的研究人员在遇到一个伪装成 Loom 的版本时发现了该恶意软件。当他们点击广告时,它会将他们重定向到 smokecoffeeshop.com,然后该网站再次将他们重定向到 Loom 网站的假冒版本。
假冒版本看起来与真品一模一样。然而,当用户点击“免费获取 Loom”按钮时,它下载的不是正版 Loom 程序,而是“AMOS 窃取程序的复杂版本”。
AMOS 并不是一个新程序。网络安全公司 Cyble 早在 2023 年 4 月就报告了它的存在。据 Cyble 称,该程序以每月 1,000 美元的价格作为订阅服务在 Telegram 上出售给网络犯罪分子。
当时,该程序能够攻击 50 多种不同的加密钱包,包括 Electrum、MetaMask、Coinbase、Binance、Exodus、Atomic、Coinomi 等。Cyble 声称,当该程序在用户的计算机上发现这些钱包中的任何一个时,它就会窃取钱包的数据,这意味着用户的加密密钥库文件很可能被 AMOS 窃取。
如果密钥库文件被盗,攻击者就可以窃取用户的钱包,尤其是当受害者在首次创建钱包账户时使用了弱密码时。
Moonlock 声称该软件现在显然已经升级,因为他们发现了一个“具有新功能”的版本。AMOS 现在可以“用克隆替换特定的加密钱包应用程序,并轻松清除受害者的电子钱包。”
具体来说,它可以克隆 Ledger 硬件钱包所有者使用的 Ledger Live 软件。Moonlock 强调,此功能“以前从未在 AMOS 版本中出现过,对于该恶意程序来说,这是一个重大飞跃”。
Ledger 设备将其私钥存储在硬件设备上,远离安装在 PC 上的恶意软件,并且用户必须在设备上确认每笔交易。这使得恶意软件很难从 Ledger 用户那里窃取加密货币。然而,攻击者克隆 Ledger Live 的意图可能是在用户的屏幕上显示欺骗性信息,导致他们错误地将加密货币发送给攻击者。
相关:Ledger CTO 警告加密用户“盲签”的危险
比克隆 Ledger Live 更令人不安的是,报告指出,该软件的未来版本可能能够克隆其他应用程序。这可能包括 MetaMask 和 Trust Wallet 等软件钱包。“如果这个新版本的 AMOS 可以用虚假的恶意克隆替换 Ledger Live,”Moonlock 建议,“它也可以对其他应用程序做同样的事情。”
软件钱包将所有信息直接显示在电脑显示器上,这使得欺骗性显示更加危险。
Moonlock 声称已追踪到该软件的开发商名为“Crazy Evil”,该组织在 Telegram 上宣传自己。据称,该组织发布了一则招聘广告,吹嘘 AMOS 软件能够克隆 Ledger Live。
在 Mac 上运行加密钱包软件的用户应该知道,AMOS 专门针对像他们这样的人。这种恶意软件通常通过 Google Adsense 广告进行传播,因此他们在考虑是否从通过横幅广告或展示广告找到的网站下载软件时可能需要格外小心。它可能看起来像是 Loom、Callzy 或其他流行程序,但实际上是 AMOS 的副本。
杂志:奇怪的“空地址”iVest 黑客攻击,数百万台 PC 仍然容易受到“Sinkclose”恶意软件的攻击:Crypto-Sec
如果对某个网站的真实性有疑问,在搜索引擎中输入该程序的名称,然后向下滚动到自然结果,有时是一种找到应用程序官方网站的有效方法,因为诈骗者通常没有域名权限将应用程序名称排在自然结果的顶部。
Google 使用过滤器试图阻止恶意软件程序通过其程序进行宣传,但这些过滤器并非 100% 有效。
恶意软件继续对加密货币用户构成严重威胁。8 月 16 日,网络安全公司 Check Point Research 发现了一个类似的“窃取者”程序,该程序通过一种名为“剪辑”的方法窃取加密货币。5 月 13 日,卡巴斯基实验室发现了一种名为“Durian”的恶意软件,该恶意软件被用来攻击加密货币交易所。