Il podcast Fake Empire invita l'industria delle criptovalute a colpire con macOS AMOS Stealer
Una nuova campagna di phishing prende di mira sviluppatori e influencer del settore delle criptovalute con false richieste di interviste che impersonano un popolare podcast di Web3. Gli aggressori si spacciano per presentatori, attirando vittime ignare su siti web che imitano piattaforme come Streamyard e Huddle per distribuire il malware AMOS Stealer contro i dispositivi macOS.
L'ultima truffa è emersa solo poche settimane dopo un altro schema, segnalato nell'agosto 2025, in cui i truffatori si sono spacciati per giornalisti di CoinMarketCap per prendere di mira i dirigenti del settore delle criptovalute in una campagna di spear-phishing.
José A. Gómez Ledesma, analista di threat intelligence del Quetzal Team, ha inizialmente individuato una campagna di phishing rivolta a influencer e sviluppatori del settore delle criptovalute.
Gli aggressori si spacciano per conduttori e produttori del popolare podcast Empire , contattando le vittime tramite messaggi diretti sui social media con il pretesto di intervistarle su progetti recenti e previsioni di mercato. Una volta contattate, propongono di intervistare Streamyard o Huddle, condividendo link a siti di phishing che imitano la piattaforma scelta.
Visitando il sito web, viene visualizzato un messaggio di errore che indica che si è verificato un problema (il browser non è compatibile o non è possibile connettersi alla piattaforma) e che è necessario scaricare e installare un client desktop. Viene quindi scaricato un DMG (un disco di installazione dell'applicazione macOS), che si presenta come Huddle o StreamYard.
Installando il contenuto del DMG, le vittime si infettano di fatto con AMOS (Atomic macOS) Stealer, una minaccia di tendenza distribuita in modo creativo e precedentemente vista spacciarsi per app popolari come DeepSeek .
La catena di infezione è piuttosto elaborata, a partire dall'installer DMG, che richiama uno script Bash pesantemente offuscato con Base64. Il contenuto codificato viene deoffuscato, quindi sottoposto a XOR tramite Perl e nuovamente deoffuscato da Base64, generando un AppleScript che viene successivamente eseguito.
Questo AppleScript cerca semplicemente un binario nascosto all'interno del volume denominato .Huddle o .Streamyard (notare il punto iniziale, che indica un file nascosto nei sistemi Unix). Questo file è, in effetti, l'esempio AMOS Stealer.
Infettandosi con AMOS (o con qualsiasi altro programma che ruba informazioni), le vittime affidano la propria vita digitale nelle mani della criminalità organizzata. Dalle app bancarie agli account di gioco, artefatti di accesso come credenziali e cookie vengono venduti al miglior offerente, spesso a un prezzo sorprendentemente basso.
Alcuni vecchi consigli sono ancora validi quando si naviga su Internet: non scaricare nulla di ciò che vedi e fai attenzione quando hai a che fare con gli sconosciuti. Potresti ritrovarti con una spiacevole sorpresa.
URL: streamyard.ai
SHA256:69b859db7397a04bb1f1c2ff9d987686b5ce0c64ec8fc716c783ed6dd755e291 SHA256:c275252592228b51b3934a9b3932d269c2f9132caad5f51ae54216ec147a8834
URL: https://x.com/BillyBitcoins
Domain: streamyard.ai
Domain: huddle01.com
URL: huddle01.com
SHA256:f7d138a4fa15215c4e747449f31b2b6b6726aed00a9cc9e3ec830df366c1437f SHA256:af4ba47f760ae08bce49c7b7c16e9dcff7df7eff53f27abc0c2a1eee1cea6085
FilePath: Huddle.Iwv
FilePath: Streamyard.ZTz
SHA256:9665dac619c7d17a2fafd32f2df77f27dc39135d31235a748bd95ac137005e9b SHA256:f7fe593806aa2b2486e2052c582b1b8423b2455bf9392fa42b1d2cb6d98ca897
Pulse di intelligence originale: https://otx.alienvault.com/pulse/68c99d5ca31f8adcc38d0637
HackRead
