一個(gè)可能與神秘威脅組織 "Crazy Evil "有關(guān)聯(lián)的復(fù)雜網(wǎng)絡(luò)犯罪行動(dòng)已經(jīng)將目光瞄準(zhǔn)了 Mac 用戶，利用流行的屏幕錄像工具 Loom 來傳播臭名昭著的 AMOS 竊取程序。Moonlock Lab 的研究人員發(fā)現(xiàn)了這一令人震驚的活動(dòng)，揭露了攻擊者是如何濫用谷歌廣告來引誘毫無戒心的受害者訪問精心制作的假 Loom 網(wǎng)站的。

最近，Moonlock Lab 發(fā)現(xiàn)，一個(gè)可能與俄羅斯有關(guān)聯(lián)的名為 Crazy Evil 的組織正在傳播 AMOS 竊取程序的變種。該組織正在谷歌廣告上開展欺騙活動(dòng)，將用戶重定向到一個(gè)托管在 smokecoffeeshop[.]com的假冒 Loom 網(wǎng)站。該網(wǎng)站幾乎完美地模仿了合法的 Loom 網(wǎng)站，從該網(wǎng)站下載的任何內(nèi)容都會(huì)導(dǎo)致安裝 AMOS 竊取程序。

自 2021 年首次出現(xiàn)以來，該惡意軟件已發(fā)生了重大演變，并在不斷更新和改進(jìn)。這款復(fù)雜的惡意軟件可以提取敏感信息、竊取瀏覽器數(shù)據(jù)，甚至清空加密貨幣錢包。

這種新型 AMOS 變種的一個(gè)顯著特點(diǎn)是能夠克隆合法應(yīng)用程序。Moonlock Lab 發(fā)現(xiàn)，該惡意軟件可以用惡意克隆程序替換 Ledger Live（一款流行的加密貨幣錢包應(yīng)用程序）等應(yīng)用程序。這一新功能代表了惡意軟件功能的重大進(jìn)步，使其能夠繞過蘋果應(yīng)用商店的安全措施，直接侵入用戶設(shè)備。

威脅行為者還創(chuàng)建了其他流行應(yīng)用程序的假冒版本，包括 Figma、TunnelBlick (VPN) 和 Callzy。值得注意的是，其中一個(gè)名為BlackDesertPersonalContractforYouTubepartners[.]dmg 的虛假應(yīng)用程序以游戲社區(qū)為目標(biāo)，參考了大型多人在線角色扮演游戲 Black Desert Online。游戲玩家通常涉及數(shù)字資產(chǎn)和加密貨幣，是此類網(wǎng)絡(luò)攻擊的常見目標(biāo)。

Moonlock Lab 將這次攻擊活動(dòng)背后的團(tuán)伙稱為 "瘋狂邪惡"（Crazy Evil）。他們通過 Telegram 機(jī)器人進(jìn)行溝通和招募，并強(qiáng)調(diào)新型 AMOS 竊取器在招募廣告中的能力。該團(tuán)伙的行動(dòng)與一個(gè)高惡意軟件關(guān)聯(lián) IP 地址（85[. 28[.]0[.]47）有關(guān)，研究人員進(jìn)一步將他們與俄羅斯網(wǎng)絡(luò)犯罪活動(dòng)聯(lián)系起來。

為了保護(hù)自己免受這種新型威脅，請(qǐng)遵循以下準(zhǔn)則：

• 謹(jǐn)慎下載： 只從官方網(wǎng)站或 Apple App Store 下載軟件。避免點(diǎn)擊谷歌廣告中的軟件下載鏈接。
• 驗(yàn)證 URL： 仔細(xì)檢查 URL，確保訪問的是合法網(wǎng)站。
• 保護(hù)游戲賬戶： 警惕主動(dòng)提供獎(jiǎng)勵(lì)或新游戲試用的信息。報(bào)告、阻止和刪除可疑信息。
• 使用安全軟件： 使用信譽(yù)良好的殺毒軟件和反惡意軟件工具來檢測(cè)和刪除威脅。