A Kaspersky identificou o Brasil como um dos principais alvos de ataques de uma nova versão do AMOS, malware para computador que consegue ter acesso a diversas informações sensíveis de uma máquina, tais como arquivos na área de trabalho, informações relacionadas ao navegador (cookies, logins, senhas e assim por diante), carteiras de criptomoedas, mensagens instantâneas (Telegram, Discord, por exemplo) e dados de notas do computador.
A infecção se inicia por meio de anúncios publicitários produzidos para disseminar malware na internet. Essa propaganda conduz o usuário a sites falsificados – ali, as vítimas fazem o download do AMOS, acreditando estar fazendo download de programas populares. Uma vez feito o download, a vítima tem acesso a uma imagem que contém instruções sobre como instalar o software, sem que ela desconfie do perigo.
A primeira coisa que o malware faz ao ser instalado é recuperar o nome de usuário do sistema e verificar se alguma senha é necessária para logar. Caso a senha seja necessária e o usuário não estiver logado, o malware cria um pop-up, solicitando a digitação da senha, tomando o controle da máquina. Depois que tudo estiver definido, os dados mencionados são coletados.
A primeira versão do AMOS foi descoberta pela primeira vez em abril de 2023. Naquela época, ele era alugado para cibercriminosos via Telegram por US$ 1 mil por mês. A versão inicial contava com recursos típicos de golpistas, como roubo de senhas, arquivos, dados de navegador e afins. Nessa atualização, o malware consegue criar solicitações de senhas falsas, na tentativa de obter a senha verdadeira do sistema para login próprio do golpista, e tem como principais focos o Brasil e a Rússia.
