安全研究人员发现了一种新的网络犯罪活动,该活动利用欺诈网站分别在 Windows 和 macOS 设备上分发恶意软件 Lumma Stealer 和 AMOS(通过电脑发出蜂鸣声)。
这些恶意程序旨在窃取加密货币钱包和 cookie、凭据、保存的密码、信用卡详细信息以及 Google Chrome、Microsoft Edge 和 Mozilla Firefox 等流行浏览器的浏览历史记录。
被盗数据被编译成档案并传输给攻击者,攻击者可能会利用这些数据进行额外的网络攻击或在地下市场上出售。
据网络安全专家 g0njxa 称,攻击者通过搜索引擎结果和 X(以前称为 Twitter)上的广告宣传冒充 AI(人工智能)视频和图像编辑器 EditPro 的虚假网站。
其中一些广告以深度伪造的政治视频为特色,例如拜登总统和特朗普一起享用冰淇淋,以吸引注意力。
活动如何运作
当您单击图像时,您将被带到两个网站:editproai[.]pro 和 editproai[.]org for the EditProAI 应用程序?这两个网站分别是为了推送 Windows 和 macOS 恶意软件而创建的。
这些网站的设计看起来很可信,具有专业的布局和无处不在的 cookie 横幅。
但是,单击“立即获取”链接将下载伪装成 EditProAI 应用程序的充满恶意软件的文件。
Windows 文件:“编辑-ProAI-Setup-newest_release.exe”[病毒总数]
macOS 文件:“EditProAi_v.4.36.dmg”[病毒总数]
据报道,Windows 恶意软件是使用从合法免费软件开发商 Softwareok.com 窃取的代码签名证书进行数字签名的。 g0njxa 表示,下载后,恶意软件会将窃取的数据传输到位于“proai[.]club/panelgood/”的服务器,攻击者稍后可以在其中检索数据。
一个来自 AnyRun 的报告沙盒恶意软件分析服务确认 Windows 变种是 Lumma Stealer。
对用户的潜在影响
过去安装过这些恶意工具的用户面临着巨大的危害风险,建议立即在访问的每个站点上使用唯一的密码重置它们。
建议用户为敏感帐户启用多重身份验证,例如电子邮件服务、网上银行和加密货币平台。
此外,下载软件时应保持警惕,尤其是从不熟悉的来源下载软件时,以避免成为这些不断演变的威胁的受害者。
