一个可能与神秘威胁组织 "Crazy Evil "有关联的新型序复杂网络犯罪行动已经将目光瞄准了 Mac 用户
，利用流行的窃取程屏幕录像工具 Loom 来传播臭名昭著的 AMOS 窃取程序。Moonlock Lab 的冒m瞄密货研究人员发现了这一令人震惊的活动，揭露了攻击者是准加如何滥用谷歌广告来引诱毫无戒心的受害者访问精心制作的假 Loom 网站的 。

最近 ，服务器租用币钱包Moonlock Lab 发现，新型序一个可能与俄罗斯有关联的窃取程名为 Crazy Evil 的组织正在传播 AMOS 窃取程序的变种。该组织正在谷歌广告上开展欺骗活动 ，冒m瞄密货将用户重定向到一个托管在 smokecoffeeshop[.]com的准加假冒 Loom 网站。该网站几乎完美地模仿了合法的币钱包 Loom 网站 ，从该网站下载的新型序任何内容都会导致安装 AMOS 窃取程序 。

自 2021 年首次出现以来，免费模板窃取程该恶意软件已发生了重大演变 ，冒m瞄密货并在不断更新和改进 。准加这款复杂的币钱包恶意软件可以提取敏感信息
、窃取浏览器数据，甚至清空加密货币钱包 。

这种新型 AMOS 变种的一个显著特点是能够克隆合法应用程序。Moonlock Lab 发现 ，该恶意软件可以用恶意克隆程序替换 Ledger Live（一款流行的加密货币钱包应用程序）等应用程序 。这一新功能代表了恶意软件功能的建站模板重大进步 ，使其能够绕过苹果应用商店的安全措施，直接侵入用户设备 。

威胁行为者还创建了其他流行应用程序的假冒版本，包括 Figma、TunnelBlick (VPN) 和 Callzy。值得注意的是 ，其中一个名为BlackDesertPersonalContractforYouTubepartners[.]dmg 的虚假应用程序以游戏社区为目标 ，模板下载参考了大型多人在线角色扮演游戏 Black Desert Online。游戏玩家通常涉及数字资产和加密货币，是此类网络攻击的常见目标 。

Moonlock Lab 将这次攻击活动背后的团伙称为 "疯狂邪恶"（Crazy Evil）。他们通过 Telegram 机器人进行沟通和招募，并强调新型 AMOS 窃取器在招募广告中的能力
。该团伙的行动与一个高恶意软件关联 IP 地址（85[. 28[.]0[.]47）有关 ，研究人员进一步将他们与俄罗斯网络犯罪活动联系起来 。高防服务器

为了保护自己免受这种新型威胁，请遵循以下准则：