حذرت شركة الأمن السيبراني Moonlock من أن برنامج AMOS الذي يستهدف مستخدمي Mac يمكنه الآن استنساخ برنامج Ledger Live وقد يستنسخ قريبًا تطبيقات المحفظة الأخرى.
وفقًا لتقرير صادر في 5 أغسطس من شركة Moonlock Lab للأمن السيبراني، فإن البرنامج يشهد انتعاشًا، حيث لاحظت الشركة أنه يتم الإعلان عنه من خلال Google AdSense. في الإعلانات، تم إخفاءه في شكل برامج MacOS الشهيرة، بما في ذلك تطبيق مشاركة الشاشة Loom، وأداة تصميم واجهة المستخدم Figma، وVPN Tunnelblick، وتطبيق المراسلة الفورية Callzy. لم يصرح أي من مطوري هذه التطبيقات بإصدارات AMOS الخبيثة المزيفة.
اكتشف باحثو Moonlock البرنامج الخبيث عندما صادفوا نسخة تتظاهر بأنها Loom. وعندما نقروا على الإعلان، أعادهم إلى smokecoffeeshop.com، والذي أعادهم بعد ذلك إلى نسخة مزيفة من موقع Loom.
كانت النسخة المزيفة تشبه النسخة الحقيقية تمامًا. ومع ذلك، عندما نقر المستخدم على زر “احصل على Loom مجانًا”، بدلاً من تنزيل برنامج Legitimate Loom، قام بتنزيل “نسخة معقدة من برنامج AMOS سارق البرامج”.
لا يعد AMOS برنامجًا جديدًا. فقد أعلنت شركة الأمن السيبراني Cyble عن وجوده في وقت مبكر من أبريل 2023. ووفقًا لـ Cyble، تم بيع البرنامج لمجرمي الإنترنت على Telegram كخدمة اشتراك مقابل 1000 دولار شهريًا.
في ذلك الوقت، كان البرنامج قادرًا على استهداف أكثر من 50 محفظة تشفير مختلفة، بما في ذلك Electrum و MetaMask و Coinbase و Binance و Exodus و Atomic و Coinomi وغيرها. عندما وجد البرنامج أيًا من هذه المحافظ على جهاز كمبيوتر المستخدم، سرق بيانات المحفظة، كما زعم Cyble، مما يعني أن ملف keyvault المشفر للمستخدم ربما تم انتزاعه بواسطة AMOS.
إذا تمت سرقة ملف keyvault، يمكن للمهاجم استنزاف محفظة المستخدم، خاصةً إذا استخدم الضحية كلمة مرور ضعيفة عند إنشاء حساب المحفظة الخاص به لأول مرة.
وزعمت شركة Moonlock أن البرنامج قد تم ترقيته الآن على ما يبدو، حيث وجدت إصدارًا “يتمتع بقدرات جديدة”. يمكن لبرنامج AMOS الآن “استبدال تطبيق محفظة تشفير معين بنسخة طبق الأصل ومسح محافظ الضحايا الإلكترونية بسهولة”.
وبشكل أكثر تحديدًا، يمكنه استنساخ برنامج Ledger Live الذي يستخدمه مالكو محفظة Ledger المادية. وأكد مونلوك أن هذه القدرة “لم يتم الإبلاغ عنها من قبل في إصدار AMOS وتمثل قفزة كبيرة إلى الأمام” للبرنامج الخبيث.
تخزن أجهزة Ledger مفاتيحها الخاصة على أجهزة صلبة، بعيدًا عن متناول البرامج الضارة المثبتة على أجهزة الكمبيوتر، ويتعين على المستخدمين تأكيد كل معاملة على الجهاز. وهذا يجعل من الصعب على البرامج الضارة سرقة العملات المشفرة من مستخدمي Ledger. ومع ذلك، قد يكون هدف المهاجم في استنساخ Ledger Live هو عرض معلومات مضللة على شاشة المستخدم، مما يتسبب في إرساله للعملات المشفرة عن طريق الخطأ إلى المهاجم.
أقرا أيضا :Mercado Libre يطلق عملة Meli Dollar المستقرة المرتبطة بالدولار الأمريكي في البرازيل
والأمر الأكثر إثارة للقلق من القدرة على استنساخ Ledger Live هو أن التقرير يشير إلى أن الإصدارات المستقبلية من البرنامج قد تكون قادرة على استنساخ تطبيقات أخرى. وقد يشمل هذا محافظ البرامج مثل MetaMask و Trust Wallet. واقترح مونلوك: “إذا كان هذا الإصدار الجديد من AMOS قادرًا على استبدال Ledger Live بنسخة مزيفة ضارة، فيمكنه فعل الشيء نفسه مع تطبيقات أخرى”.
تعرض محافظ البرامج جميع معلوماتها مباشرة على شاشة الكمبيوتر، مما يجعل العروض الخادعة أكثر خطورة.
زعمت مجموعة Moonlock أنها توصلت إلى مخترع البرنامج Crazy Evil، الذي يعلن عن نفسه على Telegram. ويُزعم أن المجموعة نشرت إعلان توظيف يتفاخر بقدرة برنامج AMOS على استنساخ Ledger Live.
يجب على المستخدمين الذين يستخدمون برنامج محفظة العملات المشفرة على أجهزة Mac أن يدركوا أن AMOS يستهدف أشخاصًا مثلهم على وجه التحديد. يتم توزيع هذا البرنامج الخبيث عمومًا من خلال إعلانات Google Adsense، لذا قد يرغبون في توخي الحذر الشديد عند التفكير في تنزيل البرنامج من موقع ويب عثروا عليه من خلال لافتة أو إعلان عرض. قد يبدو أنه Loom أو Callzy أو برنامج شائع آخر ولكنه في الواقع نسخة من AMOS.
في حالة الشك في صحة موقع ويب، فإن كتابة اسم البرنامج في محرك بحث والانتقال إلى النتائج العضوية قد يكون في بعض الأحيان طريقة فعالة للعثور على الموقع الرسمي للتطبيق، حيث لا يتمتع المحتالون عادةً بسلطة المجال للظهور في أعلى النتائج العضوية لاسم التطبيق.
تستخدم Google المرشحات في محاولة لمنع الإعلان عن البرامج الضارة من خلال برنامجها، ولكنها ليست فعالة بنسبة 100%.
لا تزال البرمجيات الخبيثة تشكل تهديدًا خطيرًا لمستخدمي العملات المشفرة. في 16 أغسطس، اكتشفت شركة الأمن السيبراني Check Point Research برنامجًا مشابهًا “للسرقة” يستنزف العملات المشفرة من خلال طريقة تسمى “القص”. في 13 مايو، اكتشفت شركة Kaspersky Labs برنامجًا ضارًا يسمى “Durian” تم استخدامه لمهاجمة بورصات العملات المشفرة .