ตามรายงานจาก Moonlock บริษัทด้านความปลอดภัยทางไซเบอร์ มัลแวร์ AMOS ที่กำลังเล็งเป้าหมายไปที่ผู้ใช้ MacBook ซึ่งสามารถโคลนซอฟต์แวร์ Ledger Live ได้แล้ว และอาจจะสามารถโคลนแอปกระเป๋าเงินอื่น ๆ ได้ในเร็ว ๆ นี้
ความสามารถใหม่ของ AMOS
โปรแกรมมัลแวร์ที่มีชื่อว่า "Atomic MacOS" หรือ "AMOS" ได้พัฒนาความสามารถใหม่ที่ช่วยให้ตัวมันเองสามารถโคลนแอปกระเป๋าเงินและขโมยคริปโตเคอร์เรนซีจากผู้ใช้งานได้
ตามรายงานเมื่อวันที่ 5 สิงหาคม จาก Moonlock Lab บริษัทด้านความปลอดภัยทางไซเบอร์ โปรแกรมนี้กำลังกลับมาได้รับความนิยมอีกครั้ง โดยบริษัทพบว่ามีการโฆษณาผ่าน Google AdSense
การแพร่กระจายของ AMOS
ในโฆษณาเหล่านั้น มัลแวร์ปลอมตัวเป็นโปรแกรมยอดนิยมบน MacOS รวมถึงแอปแชร์หน้าจออย่าง Loom, เครื่องมือออกแบบ UI อย่าง Figma, VPN Tunnelblick และแอปส่งข้อความทันทีอย่าง Callzy ทั้งนี้ ผู้พัฒนาของแอปเหล่านี้ไม่ได้อนุญาตให้มีการสร้างเวอร์ชันปลอมของมัลแวร์ AMOS แต่อย่างใด
เมื่อพวกเขาคลิกที่โฆษณาจาก Google AdSense แล้วจะนำผู้ใช้งานไปยัง smokecoffeeshop.com ซึ่งจากนั้นก็เปลี่ยนเส้นทางไปยังเว็บไซต์ Loom ของปลอมอีกครั้ง
เว็บไซต์ปลอมนั้นมีลักษณะเหมือนกับเว็บไซต์จริงทุกประการ อย่างไรก็ตาม เมื่อผู้ใช้คลิกปุ่ม "Get Loom for free" แทนที่จะดาวน์โหลดโปรแกรม Loom ที่ถูกต้อง กลับเป็นการดาวน์โหลด "มัลแวร์ AMOS"
ประวัติของ AMOS
AMOS ไม่ใช่โปรแกรมใหม่ บริษัทด้านความปลอดภัยทางไซเบอร์ Cyble ได้รายงานว่ามีตั้งแต่เดือนเมษายน 2566 ตามรายงานของ Cyble โปรแกรมนี้ถูกขายให้กับอาชญากรไซเบอร์บน Telegram ในรูปแบบบริการสมัครสมาชิกที่ราคา 1,000 ดอลลาร์สหรัฐต่อเดือน
Moonlock อ้างว่าได้ติดตามซอฟต์แวร์นี้ไปยังผู้พัฒนาที่ชื่อ Crazy Evil ซึ่งโฆษณาตัวเองบน Telegram กลุ่มนี้โพสต์โอ้อวดถึงความสามารถของซอฟต์แวร์ AMOS ที่สามารถการโคลน Ledger Live ได้
เป้าหมายการโจมตีของ AMOS
AMOS มันสามารถโจมตีกระเป๋าเงินคริปโตมากกว่า 50 ประเภท รวมถึง Electrum, MetaMask, Coinbase, Binance, Exodus, Atomic, Coinomi และอื่น ๆ เมื่อ AMOS พบกระเป๋าเงินเหล่านี้ในคอมพิวเตอร์ของผู้ใช้ มันจะขโมยข้อมูลของกระเป๋าเงิน ตามที่ Cyble อ้าง ซึ่งชี้ว่าไฟล์ keyvault ที่เข้ารหัสของผู้ใช้น่าจะถูก AMOS ขโมยไป
หากไฟล์ keyvault ถูกขโมย ผู้โจมตีสามารถดูดเงินออกจากกระเป๋าเงินของผู้ใช้ได้ โดยเฉพาะอย่างยิ่งหากเหยื่อใช้รหัสผ่านที่อ่อนแอเมื่อสร้างบัญชีกระเป๋าเงินครั้งแรก
AMOS กำหนดเป้าหมายกระเป๋าเงิน ที่มา: Cyble Research and Intelligence Labs
ความสามารถใหม่ในการโคลนแอป
Moonlock อ้างว่าซอฟต์แวร์นี้ได้รับการอัพเกรดแล้ว เนื่องจาก Moonlock เขาพบเวอร์ชันที่ใหม่มีสามารถแทนที่แอปกระเป๋าเงินคริปโตเฉพาะ โดยตัวโคลนและลบกระเป๋าอันเดิมของเหยื่อได้อย่างง่ายดาย
โดยเฉพาะอย่างยิ่ง มันสามารถโคลนซอฟต์แวร์ Ledger Live ได้ Moonlock เน้นย้ำว่าความสามารถนี้ "ไม่เคยมีรายงานในเวอร์ชันของ AMOS มาก่อน และตอนนี้มันสามารถทำได้แสดงถึงก้าวหน้าอย่างมากของ AMOS
ผลกระทบต่อผู้ใช้ Ledger
อุปกรณ์ Ledger เก็บ Private Keys ไว้ใน Hardware Wallet ซึ่งอยู่นอกเหนือการเข้าถึงของมัลแวร์ที่ติดตั้งบนคอมพิวเตอร์ และผู้ใช้ต้องยืนยันธุรกรรมแต่ละรายการบน Hardware Wallet ซึ่งยากที่มัลแวร์จะขโมยคริปโตจากผู้ใช้ Ledger
อย่างไรก็ตาม เจตนาของผู้โจมตีในการโคลน Ledger Live อาจเป็นการแสดงข้อมูลที่หลอกลวงบนหน้าจอของผู้ใช้ ทำให้ผู้ใช้ส่งคริปโตไปยัง Address ของผู้โจมตีได้
ความเสี่ยงในอนาคต
สิ่งที่น่ากังวลยิ่งกว่าความสามารถในการโคลน Ledger Live คือ รายงานระบุว่าเวอร์ชันในอนาคตของซอฟต์แวร์อาจสามารถโคลนแอปอื่น ๆ ได้ ซึ่งอาจรวมถึงกระเป๋าเงินซอฟต์แวร์อย่าง MetaMask และ Trust Wallet "หากเวอร์ชันใหม่ของ AMOS สามารถแทนที่ Ledger Live ด้วยแอปปลอมที่โคลนขึ้นมา มันอาจทำเช่นเดียวกันกับแอปอื่น ๆ ได้"
Software Wallet แสดงข้อมูลทั้งหมดโดยตรงบนหน้าจอคอมพิวเตอร์ ทำให้การแสดงผลที่หลอกลวงยิ่งเป็นอันตรายมากขึ้น
คำเตือนสำหรับผู้ใช้ Mac
ผู้ใช้ที่ใช้ซอฟต์แวร์กระเป๋าเงินคริปโตบน Mac ควรตระหนักว่า AMOS กำลังมุ่งเป้าไปที่คนใช้ MacBook โดยเฉพาะ มัลแวร์นี้มักจะแพร่กระจายผ่านโฆษณา Google Adsense ดังนั้นต้องระมัดระวังอย่างยิ่ง เมื่อจะดาวน์โหลดซอฟต์แวร์จากเว็บไซต์ที่พวกเขาพบผ่านแบนเนอร์หรือโฆษณา มันอาจดูเหมือนเป็น Loom, Callzy หรือโปรแกรมยอดนิยมอื่น ๆ แต่ในความเป็นจริงแล้วเป็นมัลแวร์ AMOS
ภัยคุกคามอื่น ๆ ต่อผู้ใช้คริปโต
มัลแวร์ยังคงเป็นภัยคุกคามที่ร้ายแรงต่อผู้ใช้คริปโต นอกจาก AMOS แล้ว ยังมีมัลแวร์อื่น ๆ ที่พุ่งเป้าไปที่ผู้ใช้คริปโตเคอร์เรนซีเช่นกัน
โปรแกรม "Stealer" ที่ใช้วิธี "Clipping"
เมื่อวันที่ 16 สิงหาคม Check Point Research บริษัทด้านความปลอดภัยทางไซเบอร์ได้ค้นพบโปรแกรม "stealer" ที่คล้ายกัน ซึ่งดูดคริปโตผ่านวิธีที่เรียกว่า "clipping" วิธีนี้อาจเกี่ยวข้องกับการแทรกแซงข้อมูลที่ถูกคัดลอกลงคลิปบอร์ด ทำให้ผู้ใช้อาจโดนขโมยข้อมูลสำคัญโดยไม่รู้ตัว
มัลแวร์ "Durian" ที่โจมตีตลาดแลกเปลี่ยนคริปโต
เมื่อวันที่ 13 พฤษภาคม Kaspersky Labs ได้ค้นพบมัลแวร์ที่มีชื่อว่า "Durian" ซึ่งถูกใช้ในการโจมตีตลาดแลกเปลี่ยนคริปโตเคอร์เรนซี มัลแวร์นี้อาจมีเป้าหมายเพื่อเจาะระบบของ Exchange ซึ่งอาจส่งผลกระทบต่อผู้ใช้จำนวนมาก
บทสรุป
ภัยคุกคามจากมัลแวร์ต่อผู้ใช้คริปโตเคอร์เรนซียังคงเป็นปัญหาที่ร้ายแรงและต่อเนื่อง ไม่เพียงแต่ AMOS เท่านั้น แต่ยังมีมัลแวร์อื่น ๆ ที่พัฒนาวิธีการโจมตีใหม่ ๆ อยู่เสมอ ผู้ใช้คริปโตควรเพิ่มความระมัดระวังในการป้องกันตนเอง รวมถึงการอัปเดตซอฟต์แวร์ความปลอดภัยอย่างสม่ำเสมอ การใช้รหัสผ่านที่แข็งแรง และการระมัดระวังเป็นพิเศษเมื่อทำธุรกรรมออนไลน์ที่เกี่ยวข้องกับคริปโตเคอร์เรนซี
อ้างอิง
Mac users beware: AMOS malware clones wallet apps and comes for your crypto