安全研究人員發現了一種新的網絡犯罪活動,該活動利用欺詐網站分別在 Windows 和 macOS 設備上分發惡意軟件 Lumma Stealer 和 AMOS(通過電腦發出蜂鳴聲)。
這些惡意程序旨在竊取加密貨幣錢包和 cookie、憑據、保存的密碼、信用卡詳細信息以及 Google Chrome、Microsoft Edge 和 Mozilla Firefox 等流行瀏覽器的瀏覽歷史記錄。
被盜數據被編譯成檔案並傳輸給攻擊者,攻擊者可能會利用這些數據進行額外的網絡攻擊或在地下市場上出售。
據網絡安全專家 g0njxa 稱,攻擊者通過搜索引擎結果和 X(以前稱為 Twitter)上的廣告宣傳冒充 AI(人工智能)視頻和圖像編輯器 EditPro 的虛假網站。
其中一些廣告以深度偽造的政治視頻為特色,例如拜登總統和特朗普一起享用冰淇淋,以吸引註意力。
活動如何運作
單擊圖像時,您將進入兩個網站:EditProAI 應用程序的 editproai[.]pro 和 editproai[.]org,它們分別是為了推送 Windows 和 macOS 惡意軟件而創建的。
這些網站的設計看起來很可信,具有專業的佈局和無處不在的 cookie 橫幅。
但是,單擊“立即獲取”鏈接將下載偽裝成 EditProAI 應用程序的充滿惡意軟件的文件。
Windows 文件:“編輯-ProAI-Setup-newest_release.exe”[病毒總數]
macOS 文件:“EditProAi_v.4.36.dmg”[病毒總數]
據報導,Windows 惡意軟件是使用從合法免費軟件開發商 Softwareok.com 竊取的代碼簽名證書進行數字簽名的。 g0njxa 表示,下載後,惡意軟件會將竊取的數據傳輸到位於“proai[.]club/panelgood/”的服務器,攻擊者稍後可以在其中檢索數據。
一個來自 AnyRun 的報告沙盒惡意軟件分析服務確認 Windows 變種是 Lumma Stealer。
對用戶的潛在影響
過去安裝過這些惡意工具的用戶面臨著巨大的妥協風險,建議立即在訪問的每個站點上使用唯一的密碼重置它們。
建議用戶為敏感帳戶啟用多重身份驗證,例如電子郵件服務、網上銀行和加密貨幣平台。
此外,下載軟件時應保持警惕,尤其是從不熟悉的來源下載軟件時,以避免成為這些不斷變化的威脅的受害者。
