Malware AMOS clona aplicaciones de billetera para robar criptos
Un alerta se encendió entre usuarios de Mac, porque el malware AMOS clona aplicaciones de billetera para robar criptos.
El ladrón de AMOS se dirige a usuarios de Mac puede clonar ahora el software Ledger Live.
Y pronto podría clonar otras aplicaciones de monedero, advirtió la empresa de ciberseguridad Moonlock.
El programa de malware Atomic MacOS o AMOS ahora tiene una nueva capacidad.
Que le permite clonar aplicaciones de billeteras y robar criptomonedas de los usuarios.
El programa está experimentando un resurgimiento, con la firma detectándolo a través de Google AdSense.
En los anuncios, se hacía pasar por programas populares de MacOS.
Incluyendo la aplicación de compartir pantalla Loom, la herramienta de diseño de interfaz de usuario Figma.
Además del VPN Tunnelblick y la aplicación de mensajería instantánea Callzy.
Ninguno de los desarrolladores de estas aplicaciones autorizó las versiones falsas del malware AMOS.
Por su parte, los investigadores de Moonlock descubrieron el malware cuando encontraron una versión que pretendía ser Loom.
Cuando hicieron clic en el anuncio, este los redirigió a smokecoffeeshop.com.
Que luego los redirigió nuevamente a una versión falsa del sitio web de Loom.
La versión falsa se veía exactamente como la real.
Sin embargo, cuando un usuario hizo clic en el botón “Get Loom for free,” en lugar de descargar el programa legítimo de Loom, descargó “una versión compleja del stealer AMOS”.
Pero AMOS no es un programa nuevo.
La firma de ciberseguridad Cyble informó sobre su existencia desde abril de 2023.
Según Cyble, el programa se vendía a ciberdelincuentes en Telegram como un servicio de suscripción por US$ 1.000 al mes.
En ese momento, era capaz de atacar más de 50 billeteras de criptomonedas diferentes.
Incluyendo Electrum, MetaMask, Coinbase, Binance, Exodus, Atomic, Coinomi y otras.
Cuando el programa encontraba alguna de estas billeteras en la computadora de un usuario, robaba los datos de la billetera, según Cyble.
Lo que implica que el archivo de bóveda de claves cifrado del usuario probablemente fue sustraído por AMOS.
Fuente: Cointelegraph
