近期,一个复杂且可能与神秘威胁组织“Crazy Evil”有关联的网络犯罪活动,已将注意力转向了Mac用户群体。该组织利用广受欢迎的屏幕录制工具Loom作为掩护,悄无声息地传播着臭名远扬的AMOS数据窃取软件。Moonlock Lab的安全研究员们揭开了这一阴谋的冰山一角,揭示了攻击者如何狡猾地利用谷歌广告平台,诱导无辜用户误入精心伪造的Loom网站陷阱。
最新情报显示,这个可能与俄罗斯存在联系的“Crazy Evil”组织,正通过操纵谷歌广告系统,将用户导向位于smokecoffeeshop[.]com的伪造Loom站点。此站点在视觉上与正版Loom网站高度相似,任何从此站点下载的内容实则都是AMOS窃取程序的载体。
自2021年初次露面以来,AMOS恶意软件已历经数次重大升级,其能力愈发强大,能够窃取敏感信息、浏览器数据,甚至清空受害者的加密货币钱包。尤为引人注目的是,这一最新版本的AMOS具备了克隆合法应用程序的能力。Moonlock Lab发现,该恶意软件能够替换如Ledger Live(一款知名的加密货币钱包应用)等程序,直接绕过苹果应用商店的安全防线,潜入用户设备内部。
此外,攻击者还炮制了Figma、TunnelBlick(VPN客户端)及Callzy等流行应用的仿冒版本,进一步拓宽了攻击范围。值得注意的是,一款名为BlackDesertPersonalContractforYouTubepartners[.]dmg的虚假软件,显然旨在诱骗Black Desert Online等大型多人在线角色扮演游戏社区的玩家,这类用户群体因常涉及数字资产和加密货币交易而成为网络犯罪分子的重点攻击对象。 Moonlock Lab将这个背后的犯罪团伙命名为“疯狂邪恶”(Crazy Evil),他们通过Telegram聊天机器人进行内部沟通与成员招募,并在招募广告中大肆吹嘘新型AMOS窃取器的强大功能。研究还揭示了该团伙与一个高活跃度的恶意软件相关IP地址(85[.]28[.]0[.]47)之间的紧密联系,进一步加深了其与俄罗斯网络犯罪生态的关联。
面对这一新型威胁,用户应提高警惕并采取以下防范措施:
- 仅从官方渠道或Apple App Store下载软件,避免点击谷歌广告中的不明下载链接。
- 仔细核对网址信息,确保访问的是官方网站。
- 对于游戏社区中的奖励或试用邀请保持谨慎态度,及时报告、屏蔽并删除可疑信息。
- 安装并定期更新可靠的杀毒软件与反恶意软件工具,以有效检测和抵御潜在威胁。
参考来源:
https://securityonline.info/new-mac-stealer-amos-poses-as-loom-screen-recorder-targets-crypto-wallets/