Alerta usuarios de Mac: el malware AMOS clona aplicaciones de billetera para robar criptos

23 ago 202416:15 UTC

El programa de malware “Atomic MacOS,” o “AMOS,” ahora tiene una nueva capacidad que le permite clonar aplicaciones de billeteras y robar criptomonedas de los usuarios.

Según un informe del 5 de agosto de la firma de ciberseguridad Moonlock Lab, el programa está experimentando un resurgimiento, con la firma detectándolo siendo anunciado a través de Google AdSense. En los anuncios, se hacía pasar por programas populares de MacOS, incluidos la aplicación de compartir pantalla Loom, la herramienta de diseño de interfaz de usuario Figma, el VPN Tunnelblick y la aplicación de mensajería instantánea Callzy. Ninguno de los desarrolladores de estas aplicaciones autorizó las versiones falsas del malware AMOS.

Los investigadores de Moonlock descubrieron el malware cuando encontraron una versión que pretendía ser Loom. Cuando hicieron clic en el anuncio, este los redirigió a smokecoffeeshop.com, que luego los redirigió nuevamente a una versión falsa del sitio web de Loom.

La versión falsa se veía exactamente como la real. Sin embargo, cuando un usuario hizo clic en el botón “Get Loom for free,” en lugar de descargar el programa legítimo de Loom, descargó “una versión compleja del stealer AMOS”.

AMOS no es un programa nuevo. La firma de ciberseguridad Cyble informó sobre su existencia desde abril de 2023. Según Cyble, el programa se vendía a ciberdelincuentes en Telegram como un servicio de suscripción por $1,000 al mes.

En ese momento, era capaz de atacar más de 50 billeteras de criptomonedas diferentes, incluidas Electrum, MetaMask, Coinbase, Binance, Exodus, Atomic, Coinomi y otras. Cuando el programa encontraba alguna de estas billeteras en la computadora de un usuario, robaba los datos de la billetera, según Cyble, lo que implica que el archivo de bóveda de claves cifrado del usuario probablemente fue sustraído por AMOS.

Si se roba un archivo de bóveda de claves, el atacante puede vaciar la billetera del usuario, especialmente si la víctima utilizó una contraseña débil al crear su cuenta de billetera.

Moonlock afirmó que el software aparentemente ha sido actualizado, ya que encontró una versión que “tiene una capacidad novedosa”. AMOS ahora puede “reemplazar una aplicación de billetera cripto específica con un clon y vaciar fácilmente las billeteras electrónicas de las víctimas”.

Específicamente, puede clonar el software Ledger Live utilizado por los propietarios de billeteras de hardware Ledger. Moonlock enfatizó que esta capacidad “nunca ha sido reportada en una versión de AMOS antes y representa un avance significativo” para el programa malicioso.

Los dispositivos Ledger almacenan sus claves privadas en dispositivos de hardware, fuera del alcance de malware instalado en una PC, y los usuarios deben confirmar cada transacción en el dispositivo. Esto hace que sea difícil para el malware robar criptomonedas a los usuarios de Ledger. Sin embargo, la intención del atacante al clonar Ledger Live puede ser mostrar información engañosa en la pantalla del usuario, haciendo que envíen sus criptomonedas al atacante por error.

Aún más preocupante que la capacidad de clonar Ledger Live, el informe señala que futuras versiones del software podrían clonar otras aplicaciones. Esto podría incluir potencialmente billeteras de software como MetaMask y Trust Wallet. “Si esta nueva versión de AMOS puede reemplazar Ledger Live con un clon malicioso,” sugirió Moonlock, “podría hacer lo mismo con otras aplicaciones”.

Las billeteras de software muestran toda su información directamente en el monitor de la PC, lo que hace que las pantallas engañosas sean aún más peligrosas.

Moonlock afirmó haber rastreado el software hasta el desarrollador Crazy Evil, que se anuncia en Telegram. El grupo supuestamente publicó un anuncio de reclutamiento jactándose de la capacidad del software AMOS para clonar Ledger Live.

Los usuarios que ejecutan software de billetera cripto en una Mac deben estar al tanto de que AMOS está apuntando específicamente a personas como ellos. Este malware generalmente se distribuye a través de anuncios de Google Adsense, por lo que es posible que quieran ser extremadamente cuidadosos al considerar si descargar software desde un sitio web que encontraron a través de un banner o anuncio gráfico. Puede parecer Loom, Callzy u otro programa popular, pero de hecho es una copia de AMOS.

Si tienes dudas sobre la autenticidad de un sitio web, escribir el nombre del programa en un motor de búsqueda y desplazarse hacia abajo hasta los resultados orgánicos a veces es una forma efectiva de encontrar el sitio web oficial de una aplicación, ya que los estafadores generalmente no tienen la autoridad de dominio para posicionarse en la parte superior de los resultados orgánicos del nombre de una aplicación.

Google utiliza filtros para intentar evitar que programas maliciosos se anuncien a través de su programa, pero no son 100% efectivos.

El malware sigue siendo una amenaza grave para los usuarios de criptomonedas. El 16 de agosto, la firma de ciberseguridad Check Point Research descubrió un programa “stealer” similar que vaciaba criptomonedas a través de un método llamado “clipping”. El 13 de mayo, Kaspersky Labs descubrió un malware llamado “Durian” que fue utilizado para atacar intercambios de criptomonedas.

Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.