Исследователи в области безопасности из компании Moonlock обнаружили новую волну активности зловредного ПО AMOS, известного также как Atomic Stealer. Злоумышленники, предположительно связанные с хакерской группой Crazy Evil, распространяют вредоносное ПО через фальшивые рекламные кампании в Google Ads, выдавая его за популярное macOS-приложение для записи экрана Loom.
Настоящий сайт Loom (слева) и поддельный (справа)
Согласно расследованию, киберпреступники создают поддельные сайты, имитирующие настоящий сайт Loom. Пользователи, переходящие по рекламе, попадают на эти фальшивые ресурсы, где и загружают обновлённую версию AMOS Stealer. Это ПО способно похищать данные из браузеров, учётные записи, пароли, а также опустошать криптовалютные кошельки.
Новая версия AMOS Stealer имеет уникальные функции, включая замену легального приложения Ledger Live на его вредоносную копию. Ledger Live предоставляет доступ к криптовалютам, NFT и DeFi использует децентрализованные системы, такие как смарт-контракты, чтобы предоставлять финансовые услуги без участия традиционных финансовых институтов, таких как банки или биржи.