Mac 用户要小心AMOS 恶意软件会克隆钱包应用程序并盗取您的加密货币

恶意软件 "Atomic MacOS "或 "AMOS "现在有了一项新功能，可以克隆钱包应用程序并从用户那里窃取加密货币。

根据网络安全公司 Moonlock Lab 8 月 5 日的一份报告，该公司发现该程序正在通过谷歌 Adsense 做广告，因此该程序正在经历复苏。在广告中，它伪装成流行的 MacOS 程序，包括屏幕共享应用程序 Loom、用户界面设计工具 Figma、VPN TunnelBlick 和即时消息应用程序 Callzy。这些程序的开发者都没有授权伪造的 AMOS 恶意软件版本。

Moonlock 的研究人员是在遇到一个假装是 Loom 的版本时发现这个恶意软件的。当他们点击广告时，广告将他们重定向到 smokecoffeeshop.com，然后又将他们重定向到一个虚假版本的 Loom 网站。

假冒网站看起来与真实网站一模一样。然而，当用户点击 "免费获取 Loom "按钮时，下载的不是合法 Loom 程序，而是 "复杂版本的 AMOS 窃取程序"。

AMOS 并不是一个新程序。网络安全公司 Cyble 早在 2023 年 4 月就报告了它的存在。据 Cyble 称，该程序在 Telegram 上以每月 1000 美元的订阅服务价格出售给网络犯罪分子。

当时，它能够针对 50 多种不同的加密货币钱包，包括 Electrum、MetaMask、Coinbase、Binance、Exodus、Atomic、Coinomi 等。Cyble 声称，当该程序在用户电脑上发现其中任何一个钱包时，它就会窃取钱包的数据，这意味着用户的加密密钥库文件很可能被 AMOS 抢走了。

如果密钥库文件被盗，攻击者就可以盗取用户的钱包，尤其是如果受害者在首次创建钱包账户时使用了弱密码。

Moonlock 声称，该软件现在显然已经升级，因为他们发现了一个 "具有新功能 "的版本。AMOS 现在可以 "用克隆程序替换特定的加密钱包应用程序，并轻松清除受害者的电子钱包"。

具体来说，它可以克隆 Ledger 硬件钱包所有者使用的 Ledger Live 软件。Moonlock 强调说，这种功能 "以前从未在 AMOS 版本中出现过，是恶意程序的一次重大飞跃"。

Ledger 设备将私钥存储在硬件设备上，PC 上安装的恶意软件无法访问，用户必须在设备上确认每笔交易。这使得恶意软件很难从 Ledger 用户那里窃取加密货币。不过，攻击者克隆 Ledger Live 的目的可能是在用户屏幕上显示欺骗性信息，导致用户误将加密货币发送给攻击者。

相关内容 Ledger 首席技术官就 "盲签 "的危险警告加密货币用户

比克隆 Ledger Live 的能力更令人担忧的是，报告指出该软件的未来版本可能会克隆其他应用程序。这可能包括 MetaMask 和 Trust Wallet 等软件钱包。"如果这个新版本的 AMOS 可以用伪造的恶意克隆版取代 Ledger Live，"Moonlock 暗示，"它也可以对其他应用程序做同样的事情。"

软件钱包会直接在电脑显示器上显示所有信息，因此欺骗性显示更加危险。

穆恩洛克声称已追踪到该软件的开发者名为 "Crazy Evil"，它在 Telegram 上做广告。据称，该组织发布了一则招募广告，吹嘘 AMOS 软件能够克隆 Ledger Live。

在 Mac 上运行加密钱包软件的用户应该注意，AMOS 专门针对他们这样的人。这种恶意软件一般通过 Google Adsense 广告传播，因此他们在考虑是否从通过横幅广告或显示广告找到的网站下载软件时，可能要格外小心。它可能看起来是 Loom、Callzy 或其他流行程序，但实际上是 AMOS 的拷贝。

如果对网站的真实性有疑问，在搜索引擎中输入程序名称并向下滚动到有机结果，有时是找到应用程序官方网站的有效方法，因为骗子通常没有域名授权，无法将应用程序名称排在有机结果的前列。

谷歌使用过滤器试图阻止恶意软件通过其程序进行宣传，但这些过滤器并非100%有效。

恶意软件仍然对加密货币用户构成严重威胁。8 月 16 日，网络安全公司 Check Point Research 发现了一个类似的 "窃取程序"，它通过一种名为 "剪切 "的方法盗取加密货币。5 月 13 日，卡巴斯基实验室发现了名为 "Durian "的恶意软件，它被用来攻击加密货币交易所。