O programa de malware “Atomic MacOS” ou “AMOS” agora possui uma nova capacidade que permite clonar aplicativos de carteira e roubar criptomoedas dos usuários.

De acordo com um relatório de 5 de agosto da empresa de segurança cibernética Moonlock Lab, o programa está passando por um ressurgimento, conforme a empresa identificou sua publicidade através do Google Adsense. Nos anúncios, ele se disfarçava como programas populares do MacOS, incluindo o aplicativo de compartilhamento de tela Loom, a ferramenta de design de interface de usuário Figma, o VPN TunnelBlick e o aplicativo de mensagens instantâneas Callzy. Nenhum dos desenvolvedores desses aplicativos autorizou as versões falsas do malware AMOS.

Os pesquisadores da Moonlock descobriram o malware ao encontrarem uma versão que fingia ser o Loom. Quando clicaram no anúncio, foram redirecionados para smokecoffeeshop.com, que então os redirecionou novamente para uma versão falsa do site do Loom.

A versão falsa parecia exatamente com a real. No entanto, quando um usuário clicava no botão “Get Loom for free”, em vez de baixar o programa legítimo Loom, era baixada “uma versão complexa do ladrão AMOS”.

Comparação entre a versão real (à esquerda) e a versão falsa (à direita) do site do Loom. Fonte: Moonlock Lab.

O AMOS não é um programa novo. A empresa de segurança cibernética Cyble relatou sua existência já em abril de 2023. Segundo a Cyble, o programa estava sendo vendido para cibercriminosos no Telegram como um serviço de assinatura por US$ 1.000 por mês.

Na época, ele era capaz de atacar mais de 50 carteiras cripto diferentes, incluindo Electrum, MetaMask, Coinbase, Binance, Exodus, Atomic, Coinomi e outras. Quando o programa encontrava qualquer uma dessas carteiras no computador de um usuário, ele roubava os dados da carteira, o que implica que o arquivo de cofre de chaves criptografado do usuário provavelmente era capturado pelo AMOS.

AMOS direcionando-se a carteiras cripto. Fonte: Cyble Research and Intelligence Labs

Se um arquivo de cofre de chaves for roubado, o invasor pode esvaziar a carteira do usuário, especialmente se a vítima usou uma senha fraca ao criar sua conta de carteira.

A Moonlock afirmou que o software aparentemente foi atualizado, pois encontraram uma versão que “tem uma capacidade inovadora”. O AMOS agora pode “substituir um aplicativo específico de carteira cripto por um clone e facilmente esvaziar as carteiras eletrônicas das vítimas”.

Especificamente, ele pode clonar o software Ledger Live usado pelos proprietários de carteiras de hardware Ledger. A Moonlock enfatizou que essa capacidade “nunca foi relatada em uma versão do AMOS antes e representa um avanço significativo” para o programa malicioso.

Os dispositivos Ledger armazenam suas chaves privadas em dispositivos de hardware, fora do alcance de malwares instalados em um PC, e os usuários devem confirmar cada transação no dispositivo. Isso dificulta que malwares roubem criptomoedas de usuários da Ledger. No entanto, a intenção do invasor ao clonar o Ledger Live pode ser exibir informações enganosas na tela do usuário, fazendo com que ele envie suas criptomoedas para o invasor por engano.

Ainda mais preocupante do que a capacidade de clonar o Ledger Live, o relatório observa que versões futuras do software podem ser capazes de clonar outros aplicativos. Isso pode potencialmente incluir carteiras de software como MetaMask e Trust Wallet. “Se essa nova versão do AMOS pode substituir o Ledger Live por um clone malicioso falso”, sugeriu a Moonlock, “ela pode fazer o mesmo com outros aplicativos”.

Carteiras de software exibem todas as suas informações diretamente no monitor do PC, tornando exibições enganosas ainda mais perigosas.

A Moonlock afirmou ter rastreado o software até um desenvolvedor chamado “Crazy Evil”, que se anuncia no Telegram. O grupo supostamente publicou um anúncio de recrutamento destacando a capacidade do software AMOS de clonar o Ledger Live.

Os usuários que executam software de carteira cripto em um Mac devem estar cientes de que o AMOS está direcionado especificamente para pessoas como eles. Esse malware geralmente é distribuído por meio de anúncios do Google Adsense, portanto, eles devem ter muito cuidado ao considerar o download de software de um site que encontraram por meio de um banner ou anúncio gráfico. Pode parecer o Loom, Callzy ou outro programa popular, mas na verdade é uma cópia do AMOS.

Se estiver em dúvida sobre a autenticidade de um site, digitar o nome do programa em um mecanismo de busca e rolar até os resultados orgânicos às vezes é uma maneira eficaz de encontrar o site oficial de um aplicativo, já que os golpistas geralmente não têm autoridade de domínio suficiente para aparecer no topo dos resultados orgânicos para o nome de um aplicativo.

O Google usa filtros para tentar impedir que programas maliciosos sejam anunciados através do seu programa, mas esses filtros não são 100% eficazes.

Malwares continuam sendo uma ameaça séria para os usuários de cripto. Em 16 de agosto, a empresa de segurança cibernética Check Point Research descobriu um programa ladrão semelhante que esvaziava cripto por meio de um método chamado “clipping”. Em 13 de maio, a Kaspersky Labs descobriu um malware chamado “Durian” que foi usado para atacar exchanges de cripto.