هشدار برای کاربران مک: بدافزار آموس (AMOS) مخفیانه کیفپولهای کاربران را کپی میکند!
بدافزار اتمیک مک او اس (Atomic MacOS) یا اموس (AMOS) اکنون دارای قابلیت جدیدی است که به آن اجازه میدهد اپلیکیشنهای کیف پول (Crypto Wallet) را شبیهسازی کرده و ارزهای دیجیتال را از کاربران سرقت کند.
به گزارش میهن بلاکچین، نسخه جدید بدافزار آموس میتواند در قالب اپلیکیشنهای محبوب دیگر نیز ظاهر شود.
آموس، کاربران سیستم عامل مک را هدف قرار میدهد
بر اساس گزارش ۵ آگوست از شرکت امنیت سایبری مونلاک لبز (Moonlock Lab)، این برنامه در حال احیای مجدد است و شرکت مذکور متوجه شده است که آن را از طریق گوگلادسنس (Google AdSense) تبلیغ میکنند. این بدافزار در تبلیغات، به عنوان برنامههای محبوب MacOS از جمله برنامه اشتراکگذاری صفحه نمایش لوم (Loom)، ابزار طراحی رابط کاربری فیگما (Figma) و برنامه پیامرسان کالزی (Callzy) ظاهر میشود.
محققان مونلاک زمانی که با نسخهای در نقش لوم مواجه شدند، این بدافزار را کشف کردند. هنگامی که آنها روی تبلیغات کلیک کردند، آنها را به smokecoffeeshop.com هدایت کرد که سپس دوباره به نسخه جعلی وب سایت لوم هدایت شدند.
نسخه جعلی دقیقاً شبیه نسخه واقعی بود. با این حال، زمانی که کاربر روی دکمه Get Loom for free کلیک کرد، به جای دانلود برنامه اصلی، نسخه پیچیده ای از آموس را دانلود کرد.
آموس یک برنامه جدید نیست. شرکت امنیت سایبری سایبل (Cyble) وجود آن را در آوریل ۲۰۲۳ گزارش کرد. طبق گفته سایبل، این برنامه با یک سرویس اشتراک در تلگرام به مبلغ ۱۰۰۰ دلار در ماه به مجرمان سایبری فروخته میشد.
آموس در آن زمان میتوانست بیش از ۵۰ کیف پول ارز دیجیتال مختلف از جمله الکترام (Electrum)، متامسک (MetaMask)، کوین بیس (Coinbase)، بایننس (Binance)، اکسودیوس (Exodus)، اتومیک (Atomic)، کوینومی (Coinomi) و غیره را هدف قرار دهد. سایبل ادعا داشت که وقتی این برنامه هر یک از این کیف پولها را در رایانه کاربر پیدا کند، دادههای کیف پول را به سرقت میبرد. این بدان معنی است که فایل رمزگذاری شده کیوالت (keyvault) کاربر مک احتمالاً توسط آموس ربوده میشود.
اگر یک فایل کیوالت به سرقت رفته باشد، مهاجم میتواند کیف پول کاربر را تخلیه کند، به خصوص اگر قربانی در اولین ایجاد حساب کیف پول خود از رمز عبور ضعیفی استفاده کرده باشد.
مونلاک ادعا داشت که این نرم افزار اکنون ارتقا یافته است، زیرا نسخهای را پیدا کردهاند که قابلیت جدیدی دارد. آموس اکنون میتواند یک برنامه کیف پول کریپتویی خاص را با یک شبیهساز جایگزین کرده و به راحتی کیف پول قربانیان را حذف کند.
این بدافزار میتواند نرمافزار لجرلایو (Ledger Live) را که توسط دارندگان کیف پول سختافزاری لجر استفاده میشود، شبیهسازی کند. مونلاک تاکید کرد که این قابلیت قبلاً در هیچ نسخهای از آموس گزارش نشده و نشاندهنده پیشرفت قابلتوجهی برای این برنامه مخرب است.
دستگاههای لجر کلیدهای خصوصی خود را در دستگاههای سختافزاری، دور از دسترس بدافزار نصبشده بر روی رایانه شخصی ذخیره میکنند و کاربران باید هر تراکنش را در دستگاه تأیید کنند. این امر بدافزار را برای سرقت کریپتو از کاربران لجر دشوار میکند. با این حال، هدف مهاجم از شبیه سازی لجرلایو ممکن است نمایش اطلاعات فریبنده بر روی صفحه نمایش کاربر باشد که باعث میشود آنها به اشتباه ارز دیجیتال خود را برای مهاجم ارسال کنند.
البته این قابلیت حتی از توانایی شبیهسازی لجرلایو نگرانکنندهتر است و نسخههای بعدی این نرمافزار ممکن است قادر به شبیهسازی برنامههای دیگر باشند. مونلاک اظهار داشت:
اگر نسخه جدید آموس بتواند لجرلایو را با یک کلون مخرب جعلی جایگزین کند، میتواند همین کار را با سایر برنامهها نیز انجام دهد.
کیف پولهای نرم افزاری تمام اطلاعات خود را مستقیماً روی مانیتور رایانه شخصی نمایش میدهند و نمایشگرهای فریبنده را خطرناکتر میکنند.
مونلاک مدعی شد که این نرم افزار را به توسعه دهنده کریزی ایول (Crazy Evil) که خودش را در تلگرام تبلیغ میکند، ردیابی کرده است. ظاهراً این گروه آگهی استخدامی را منتشر کرده است که در آن به توانایی نرم افزار آموس برای شبیه سازی لجرلایو میبالد.
کاربرانی که نرم افزار کیف پول کریپتویی را در مک اجرا میکنند باید بدانند که آموس، افرادی مانند آنها را هدف قرار میدهد. این بدافزار عموماً از طریق تبلیغات گوگل ادسنس عرضه میشود، بنابراین ممکن است بخواهند هنگام دانلود کردن نرمافزار از وبسایتی که از طریق بنر یا تبلیغات نمایشی پیدا کردهاند، بازدید کنید.
بدافزارها همچنان تهدیدی جدی برای کاربران ارزهای دیجیتال هستند. در ۱۶ آگوست (۲۶ مرداد)، شرکت امنیت سایبری چکپوینت ریسرچ (Check Point Research)، یک برنامه مشابه «استیلر» را کشف کرد که ارزهای دیجیتال را از طریق روشی به نام «کلیپینگ» تخلیه میکرد؛ در ۱۳ می نیز کسپرسکی بدافزاری به نام «دوریان» را کشف کرد که برای حمله به صرافیهای کریپتویی استفاده میشد.