« فروش و انتشار بدافزار AMOS از طریق کانال های تلگرام »

بر اساس اخبار منتشر شده، یک بدافزار جدید سارق اطلاعات به نام AMOS، قادر به هدف قرار دادن سیستم عامل مک و سرقت اطلاعات حساب کاربری افراد می باشد. این بدافزار توسط محققان امنیتی و در یک کانال تلگرامی کشف شد که در آن، تیم توسعه دهنده بدافزار، در حال تبلیغ کردن آن بوده است؛ گفته شده جدیدترین به روزرسانی بدافزار یاد شده،‌در تاریخ 25 آوریل سال جاری میلادی انجام شده است.

 در این کانال تلگرامی، تیم هکری، اقدام به معرفی قابلیت های AMOS ازجمله   ,Web Panel, meta-mask Bruteforce, dmg installer,Crypto checker و... نموده و اعلام داشته هزینه ماهیانه این بدافزار، 1000 دلار می باشد. بدافزار مورد بحث تحت عنوان setup.dmg کشف شده که در واقع پسوندی است که به منظور نصب برنامه ها در سیستم عامل macOS مورد بهره برداری قرار می گیرد.حسب اعلام محققان، AMOS علاوه بر توانایی سرقت کلمات عبور و فایل های حساس، قادر به استخراج کلمات عبور شبکه های وای-فای، اطلاعات کارت اعتباری، اطلاعات حساس مربوط به مرورگرها (از جمله اطلاعات Auto-fill، کوکی ها، کلمات عبور و...) نیز می باشد.

 این بدافزار قبل از اقدام به سرقت اطلاعات، یک کادر جعلی ورود کلمه عبور را به کاربر نمایش می دهد تا از این طریق،رمز سیستم را به دست آورد. لازم به ذکر است در سیستم عامل macOS، از نرم افزار keyChain  برای ذخیره سازی تمامی اطلاعات حساب کاربری، شناسه های شبکه، رمزعبور شبکه وای فای، کلمات عبور مدیریتی و ... استفاده می شود؛ گفته شده AMOS قادر به استخراج اطلاعات keyChain مشتمل بر اطلاعات کارت اعتباری و ... می باشد.

علاوه بر این، گفته شده این بدافزار قادر به سرقت اطلاعات کیف پول های رمزارزی نیز می باشد که این اتفاق، به واسطه افزونه هایی است که شرکت های ارائه دهنده کیف پول های رمزارزی، برای مرورگرها منتشر نموده اند. AMOS قابلیت سرقت اطلاعات حساس مرورگرهایی از جمله کروم، فایرفاکس و ... را دارا می باشد. این بدافزار همچنین در صورت اعطای دسترسی از سوی کاربر، اقدام به سرقت اطلاعات از دسکتاپ و پوشه Documents وی می نماید؛ پس از اخذ دسترسی، بدافزار اقدام به سرقت فایل های موجود در مسیرهای یاد شده نموده و آن ها را در سرور C2 خود ذخیره می نماید.

علاوه بر این، بدافزار یاد شده توانایی سرقت اطلاعات سیستمی نظیر UUID، میزان رم دستگاه، شماره سریال و ... را دارد. این بدافزار پس از جمع آوری اطلاعات مزبور، این اطلاعات به صورت یک فایل فشرده تجمیع شده و رمزنگاری base64 بر روی آن اعمال خواهد شد و در نهایت این فایل به نشانی “hxxp[:]//amos-malware[.]ru/sendlog” که نشانی سرور C2 بدافزار است، ارسال خواهد شد. گفته شده این بدافزار قابلیت پیکربندی از طریق یک کانال تلگرامی که سوابق فعالیت های بدافزار را دریافت می کند، دارا می باشد؛ این موضوع، شامل مواردی نظیر تعداد کوکی ها،‌گذرواژه ها و ... می باشد.