Người dùng Mac cẩn thận: AMOS đang nhắm vào ví tiền điện tử của bạn
-
Thor Crypto - 23 Tháng 08 lúc 14:28
Chương trình phần mềm độc hại “Atomic MacOS” hay “AMOS” hiện có khả năng mới cho phép nó sao chép các ứng dụng ví và đánh cắp tiền điện tử từ người dùng.
Theo báo cáo ngày 5 tháng 8 từ công ty an ninh mạng Moonlock Lab, chương trình này đang trở lại mạnh mẽ, khi công ty phát hiện nó được quảng cáo thông qua Google Adsense. Trong các quảng cáo, nó giả mạo các chương trình phổ biến trên MacOS, bao gồm ứng dụng chia sẻ màn hình Loom, công cụ thiết kế giao diện người dùng Figma, VPN TunnelBlick và ứng dụng nhắn tin tức thời Callzy. Không có nhà phát triển nào của các ứng dụng này cho phép các phiên bản giả mạo AMOS.
Các nhà nghiên cứu của Moonlock phát hiện phần mềm độc hại khi họ gặp phải một phiên bản giả mạo Loom. Khi họ nhấp vào quảng cáo, nó chuyển hướng họ đến smokecoffeeshop.com, sau đó lại chuyển hướng họ đến một phiên bản giả mạo của trang web Loom.
Phiên bản giả mạo trông giống hệt như phiên bản thật. Tuy nhiên, khi người dùng nhấp vào nút “Get Loom for free”, thay vì tải xuống chương trình Loom hợp pháp, nó tải xuống “một phiên bản phức tạp của AMOS stealer.”
AMOS không phải là chương trình mới. Công ty an ninh mạng Cyble đã báo cáo về nó từ tháng 4 năm 2023. Theo Cyble, chương trình này được bán cho tội phạm mạng trên Telegram dưới dạng dịch vụ đăng ký với giá 1.000 USD mỗi tháng.
Vào thời điểm đó, nó có khả năng tấn công hơn 50 ví tiền điện tử khác nhau, bao gồm Electrum, MetaMask, Coinbase, Binance, Exodus, Atomic, Coinomi và nhiều ví khác. Khi chương trình tìm thấy bất kỳ ví nào trong số này trên máy tính của người dùng, nó đánh cắp dữ liệu của ví, Cyble tuyên bố, ngụ ý rằng tệp keyvault được mã hóa của người dùng có thể đã bị AMOS lấy cắp.
Nếu tệp keyvault bị đánh cắp, kẻ tấn công có thể rút sạch ví của người dùng, đặc biệt nếu nạn nhân sử dụng mật khẩu yếu khi họ tạo tài khoản ví lần đầu.
Moonlock tuyên bố rằng phần mềm này hiện đã được nâng cấp, vì họ tìm thấy một phiên bản “có khả năng mới.” AMOS hiện có thể “thay thế một ứng dụng ví tiền điện tử cụ thể bằng một bản sao và dễ dàng xóa sạch ví điện tử của nạn nhân.”
Cụ thể, nó có thể sao chép phần mềm Ledger Live được sử dụng bởi chủ sở hữu ví phần cứng Ledger. Moonlock nhấn mạnh rằng khả năng này “chưa từng được báo cáo trong bất kỳ phiên bản nào của AMOS trước đây và đại diện cho một bước tiến đáng kể” cho chương trình độc hại này.
Thiết bị Ledger lưu trữ các khóa riêng tư trên các thiết bị phần cứng, ngoài tầm với của phần mềm độc hại cài đặt trên PC, và người dùng phải xác nhận từng giao dịch trên thiết bị. Điều này làm cho phần mềm độc hại khó có thể đánh cắp tiền điện tử từ người dùng Ledger. Tuy nhiên, ý định của kẻ tấn công trong việc sao chép Ledger Live có thể là hiển thị thông tin lừa đảo trên màn hình của người dùng, khiến họ vô tình gửi tiền điện tử của mình cho kẻ tấn công.
Thậm chí còn đáng lo ngại hơn khả năng sao chép Ledger Live, báo cáo lưu ý rằng các phiên bản tương lai của phần mềm có thể sao chép các ứng dụng khác. Điều này có thể bao gồm các ví phần mềm như MetaMask và Trust Wallet. “Nếu phiên bản mới của AMOS có thể thay thế Ledger Live bằng một bản sao độc hại giả mạo,” Moonlock gợi ý, “nó có thể làm điều tương tự với các ứng dụng khác.”
Các ví phần mềm hiển thị tất cả thông tin của chúng trực tiếp trên màn hình PC, làm cho các hiển thị lừa đảo càng nguy hiểm hơn.
Moonlock tuyên bố đã truy tìm phần mềm này đến một nhà phát triển có tên “Crazy Evil,” quảng cáo trên Telegram. Nhóm này được cho là đã đăng một quảng cáo tuyển dụng khoe khoang về khả năng sao chép Ledger Live của phần mềm AMOS.
Người dùng chạy phần mềm ví tiền điện tử trên Mac nên nhận thức rằng AMOS đang nhắm mục tiêu cụ thể vào những người như họ. Phần mềm độc hại này thường được phân phối thông qua quảng cáo Google Adsense, vì vậy họ nên cực kỳ cẩn thận khi xem xét việc tải xuống phần mềm từ một trang web mà họ tìm thấy thông qua một banner hoặc quảng cáo hiển thị. Nó có thể xuất hiện là Loom, Callzy, hoặc một chương trình phổ biến khác, nhưng thực tế là một bản sao của AMOS.
Nếu nghi ngờ về tính xác thực của một trang web, gõ tên của chương trình vào công cụ tìm kiếm và cuộn xuống kết quả tự nhiên đôi khi là cách hiệu quả để tìm trang web chính thức của một ứng dụng, vì kẻ lừa đảo thường không có quyền lực tên miền để xếp hạng ở đầu kết quả tự nhiên cho tên của ứng dụng.
Google sử dụng các bộ lọc để cố gắng ngăn chặn các chương trình phần mềm độc hại được quảng cáo thông qua chương trình của họ, nhưng các bộ lọc này không hiệu quả 100%.
Phần mềm độc hại tiếp tục là mối đe dọa nghiêm trọng đối với người dùng tiền điện tử. Vào ngày 16 tháng 8, công ty an ninh mạng Check Point Research đã phát hiện một chương trình “stealer” tương tự rút tiền điện tử thông qua một phương pháp gọi là “clipping.” Vào ngày 13 tháng 5, Kaspersky Labs đã phát hiện phần mềm độc hại có tên “Durian” được sử dụng để tấn công các sàn giao dịch tiền điện tử.
Chain Việt Nam
