08/08/24
Исследователи в области безопасности из компании Moonlock обнаружили новую волну активности зловредного ПО AMOS, известного также как Atomic Stealer. Злоумышленники, предположительно связанные с хакерской группой Crazy Evil, распространяют вредоносное ПО через фальшивые рекламные кампании в Google Ads, выдавая его за популярное macOS-приложение для записи экрана Loom. Об этом пишет Securitylab.
Согласно расследованию, киберпреступники создают поддельные сайты, имитирующие настоящий сайт Loom. Пользователи, переходящие по рекламе, попадают на эти фальшивые ресурсы, где и загружают обновлённую версию AMOS Stealer. Это ПО способно похищать данные из браузеров, учётные записи, пароли, а также опустошать криптовалютные кошельки.
Новая версия AMOS Stealer имеет уникальные функции, включая замену легального приложения Ledger Live на его вредоносную копию. Ledger Live предоставляет доступ к криптовалютам, NFT и DeFi, что делает его привлекательной целью для злоумышленников. Исследователи также обнаружили поддельные версии других популярных приложений, таких как Figma и TunnelBlick.
Хакеры используют эту тактику для обхода защитных механизмов Apple App Store, которые предотвращают загрузку вредоносных приложений. Клонирование приложений после взлома устройства позволяет киберпреступникам продвигаться в новом направлении, адаптируясь к существующим мерам безопасности.
Особенно уязвимой является игровая аудитория, активно использующая криптовалюты и цифровые активы. Киберпреступники часто публикуют фальшивые вакансии и предложения на игровых платформах, обманывая пользователей с помощью социальной инженерии.
Исследователи Moonlock Lab связали группу Crazy Evil с этой кампанией через анализ даркнета, где были обнаружены объявления о наборе в команду, использующую тот же AMOS Stealer. Группировка активно использует Telegram для коммуникации с внешним миром, а также для вербовки новых участников.
