一個可能與神秘威脅組織 "Crazy Evil "有關聯的復雜網絡犯罪行動已經將目光瞄準了 Mac 用戶，利用流行的屏幕錄像工具 Loom 來傳播臭名昭著的 AMOS 竊取程序。Moonlock Lab 的研究人員發現了這一令人震驚的活動，揭露了攻擊者是如何濫用谷歌廣告來引誘毫無戒心的受害者訪問精心制作的假 Loom 網站的。

最近，Moonlock Lab 發現，一個可能與俄羅斯有關聯的名為 Crazy Evil 的組織正在傳播 AMOS 竊取程序的變種。該組織正在谷歌廣告上開展欺騙活動，將用戶重定向到一個托管在 smokecoffeeshop[.]com的假冒 Loom 網站。該網站幾乎完美地模仿了合法的 Loom 網站，從該網站下載的任何內容都會導致安裝 AMOS 竊取程序。

自 2021 年首次出現以來，該惡意軟件已發生了重大演變，并在不斷更新和改進。這款復雜的惡意軟件可以提取敏感信息、竊取瀏覽器數據，甚至清空加密貨幣錢包。

這種新型 AMOS 變種的一個顯著特點是能夠克隆合法應用程序。Moonlock Lab 發現，該惡意軟件可以用惡意克隆程序替換 Ledger Live（一款流行的加密貨幣錢包應用程序）等應用程序。這一新功能代表了惡意軟件功能的重大進步，使其能夠繞過蘋果應用商店的安全措施，直接侵入用戶設備。

威脅行為者還創建了其他流行應用程序的假冒版本，包括 Figma、TunnelBlick (VPN) 和 Callzy。值得注意的是，其中一個名為BlackDesertPersonalContractforYouTubepartners[.]dmg 的虛假應用程序以游戲社區為目標，參考了大型多人在線角色扮演游戲 Black Desert Online。游戲玩家通常涉及數字資產和加密貨幣，是此類網絡攻擊的常見目標。

Moonlock Lab 將這次攻擊活動背后的團伙稱為 "瘋狂邪惡"（Crazy Evil）。他們通過 Telegram 機器人進行溝通和招募，并強調新型 AMOS 竊取器在招募廣告中的能力。該團伙的行動與一個高惡意軟件關聯 IP 地址（85[. 28[.]0[.]47）有關，研究人員進一步將他們與俄羅斯網絡犯罪活動聯系起來。

為了保護自己免受這種新型威脅，請遵循以下準則：

• 謹慎下載： 只從官方網站或 Apple App Store 下載軟件。避免點擊谷歌廣告中的軟件下載鏈接。
• 驗證 URL： 仔細檢查 URL，確保訪問的是合法網站。
• 保護游戲賬戶： 警惕主動提供獎勵或新游戲試用的信息。報告、阻止和刪除可疑信息。
• 使用安全軟件： 使用信譽良好的殺毒軟件和反惡意軟件工具來檢測和刪除威脅。