Shamos Stealer

Shamos هو برنامج خبيث تم اكتشافه مؤخرًا لنظام macOS، وهو مصمم خصيصًا لاختراق أجهزة macOS. نشط منذ صيف عام 2025 على الأقل، ويُشغّل كخدمة برمجية خبيثة (MaaS) من قِبل مجموعة تُعرف باسم COOKIE SPIDER. وكان ناقله الرئيسي هو عمليات الاحتيال عبر ClickFix، وهي تقنية تزداد شيوعًا بين مجرمي الإنترنت الذين يستهدفون مستخدمي macOS. وقد تم تحديد Shamos كنسخة مُشتقة من تهديد AMOS (Atomic) Stealer الذي يستهدف الأجهزة المحمولة.

مسار العدوى الأولي

يتسلل Shamos إلى الأنظمة بشكل رئيسي عبر عمليات احتيال ClickFix، التي تخدع المستخدمين لنسخ ولصق أوامر ضارة في الطرفية. يؤدي هذا الإجراء إلى تنزيل نص برمجي Bash يتجاوز عمليات فحص Gatekeeper، ويسرق بيانات اعتماد تسجيل الدخول، وينشر في النهاية ملف Mach-O يحمل Shamos. باستغلال ثقة المستخدم في نصائح استكشاف الأخطاء وإصلاحها، تزيد هذه الطريقة من معدلات الإصابة بشكل كبير.

التخفي وجمع البيانات

بمجرد تشغيله، يستخدم Shamos آلياتٍ مضادةً للتحليل لاكتشاف ما إذا كان يعمل في جهازٍ افتراضي أم في بيئةٍ آمنة. إذا تأكد من أن البيئة حقيقية، فإنه يبدأ بجمع بياناتٍ مكثف. يبحث البرنامج الخبيث عن الملفات المرتبطة بكلمات المرور، ومحافظ العملات المشفرة، وبيانات النظام الحساسة.

تشمل مجالات الاهتمام الرئيسية ما يلي:

Keychain Access : أداة تخزين كلمات المرور الأصلية من Apple.

تطبيق الملاحظات : غالبًا ما يستخدمه المستخدمون بشكل خاطئ لتخزين التفاصيل الخاصة.

متصفحات الويب : مصدر غني بسجلات التصفح وملفات تعريف الارتباط وإدخالات التعبئة التلقائية وبيانات الاعتماد المخزنة وتفاصيل الدفع.

التوسع إلى ما هو أبعد من سرقة البيانات

لا يقتصر برنامج Shamos على جمع بيانات الاعتماد فحسب، بل لوحظ أنه يُنزّل حمولات إضافية، منها:

• وحدة بوت نت لاستغلال الشبكة على نطاق واسع.
• تطبيق محفظة Ledger Live وهمية، تم تصميمه لخداع مستخدمي العملات المشفرة.

وتجعل هذه القدرات من Shamos بوابة للإصابات الأوسع نطاقًا، بما في ذلك برامج الفدية، وأحصنة طروادة، وبرامج تعدين العملات المشفرة، وغيرها من التهديدات عالية التأثير.

الاستهداف الجغرافي والاستبعادات

استهدفت حملات توزيع "شاموس" بشكل رئيسي المستخدمين في الولايات المتحدة، والمملكة المتحدة، وكندا، والصين، وكولومبيا، وإيطاليا، واليابان، والمكسيك. ومن أبرز الاستثناءات روسيا، التي تتماشى مع الممارسة الشائعة لمشغلي خدمات الإنترنت كخدمة (MaaS) في روسيا، والتي تتجنب الأهداف المحلية.

عمليات الاحتيال في ClickFix قيد التنفيذ

يكمن جوهر حملات "شاموس" في الإعلانات الخبيثة وتشويه محركات البحث، مما يدفع الضحايا إلى مواقع ويب احتيالية متخفية في صورة صفحات دعم رسمية لأجهزة ماك. تستخدم هذه المواقع علامات تجارية موثوقة لبناء الثقة قبل توجيه المستخدمين لتنفيذ أوامر ضارة.

بالإضافة إلى ذلك، استخدم مجرمو الإنترنت مستودعات GitHub الخادعة، حيث قدموا تنزيلات مجانية لأدوات Mac الشهيرة مثل iTerm2، وبرامج CAD، ومحرري الفيديو، وأدوات الذكاء الاصطناعي، وبرامج التحسين.

طرق التوزيع الممكنة الأخرى

في حين تظل عمليات الاحتيال التي يتم تنفيذها عبر ClickFix هي آلية التسليم الأساسية، يمكن أيضًا نشر Shamos من خلال تقنيات توزيع البرامج الضارة الأكثر تقليدية، بما في ذلك:

التصيد الاحتيالي والهندسة الاجتماعية : الروابط أو المرفقات الضارة عبر البريد الإلكتروني أو الرسائل الخاصة أو الرسائل المباشرة.

التنزيلات غير المرغوب فيها والإعلانات الضارة : حمولات مخفية على المواقع المخترقة أو الضارة.

قنوات التوزيع المشبوهة : البرامج المقرصنة، والشقوق، والبرامج المجانية من جهات خارجية، وشبكات P2P.

التحديثات المزيفة : مطالبات خادعة تحث المستخدمين على تثبيت تحديثات أمنية أو تحديثات للنظام مزيفة.

الانتشار الذاتي : تنتشر بعض أشكال البرامج الضارة بشكل مستقل عبر الشبكات المحلية أو محركات الأقراص الخارجية.

الخلاصة

قد يؤدي وجود Shamos على النظام إلى انتهاكات جسيمة للخصوصية، وسرقة هوية، وخسائر مالية، وإصابات متعددة عبر هجمات متسلسلة. يضمن نموذج MaaS الخاص به بقاءه متاحًا حتى للجهات الفاعلة غير الماهرة، مما يجعله خطرًا مستمرًا على مستخدمي macOS حول العالم.