Оферта за отстъпка за множество лицензи
База данни за заплахи Мобилен зловреден софтуер Shamos Stealer

Shamos Stealer

До Mezo през Мобилен зловреден софтуер, Крадциг
Превод на:

Shamos е наскоро идентифициран зловреден софтуер за macOS, специално проектиран да компрометира macOS устройства. Активен поне от лятото на 2025 г., този зловреден софтуер се управлява като услуга (MaaS) от група, известна като COOKIE SPIDER. Основният му вектор за разпространение са измами ClickFix, техника, която става все по-популярна сред киберпрестъпниците, насочени към потребители на macOS. Shamos е идентифициран като вариант на мобилната заплаха AMOS (Atomic) Stealer .

Първоначален път на инфекция

Shamos прониква в системите предимно чрез измами на ClickFix, които подвеждат потребителите да копират и поставят злонамерени команди в терминала. Това действие задейства изтеглянето на Bash скрипт, който заобикаля проверките на Gatekeeper, краде данни за вход и в крайна сметка разполага Mach-O файл, съдържащ Shamos. Чрез използване на доверието на потребителите в съветите за отстраняване на неизправности, този метод значително увеличава процента на заразяване.

Стелт и събиране на данни

След като се изпълни, Shamos използва механизми за антианализ, за да открие дали работи във виртуална машина или пясъчник. Ако определи, че средата е автентична, започва обширно събиране на данни. Зловредният софтуер търси файлове, свързани с пароли, портфейли с криптовалута и чувствителни системни данни.

Ключови области на интерес включват:

Достъп с ключодържател : вградената помощна програма на Apple за съхранение на пароли.

Приложение за бележки : Често се използва неправилно от потребителите за съхраняване на лични данни.

Уеб браузъри : Богат източник на история на сърфиране, „бисквитки“, записи за автоматично попълване, съхранени идентификационни данни и данни за плащане.

Разширяване отвъд кражбата на данни

Шамос не се ограничава само до събиране на идентификационни данни. Наблюдавано е, че изтегля допълнителни полезни товари, включително:

  • Ботнет модул за мащабна мрежова експлоатация.
  • Фалшиво приложение за портфейл Ledger Live, предназначено да заблуди потребителите на криптовалута.

Подобни възможности правят Shamos входна точка за по-широки инфекции, включително рансъмуер, троянски коне, криптоминьори и други силно въздействащи заплахи.

Географско насочване и изключвания

Кампаниите, разпространяващи Shamos, са насочени главно към потребители в Съединените щати, Обединеното кралство, Канада, Китай, Колумбия, Италия, Япония и Мексико. Едно забележително изключение е Русия, което е в съответствие с обичайната практика руските MaaS оператори да избягват местни цели.

Измами с ClickFix в действие

Крайъгълният камък на кампаниите на Shamos е злонамерената реклама и SEO отравянето, които водят жертвите към измамни уебсайтове, маскирани като легитимни страници за поддръжка на Mac. Тези уебсайтове използват автентичен брандинг, за да изградят доверие, преди да инструктират потребителите да изпълняват вредни команди.

Освен това, киберпрестъпниците са използвали измамни хранилища на GitHub, предлагайки безплатни файлове за изтегляне на популярни инструменти за Mac, като iTerm2, CAD софтуер, видео редактори, инструменти с изкуствен интелект и програми за оптимизация.

Други възможни методи за разпространение

Въпреки че измамите с ClickFix остават основният механизъм за разпространение, Shamos може да се разпространява и чрез по-традиционни техники за разпространение на зловреден софтуер, включително:

Фишинг и социално инженерство : Злонамерени връзки или прикачени файлове чрез имейл, лични съобщения или директни съобщения.

Автоматично изтегляне и злонамерена реклама : Скрити полезни товари на компрометирани или злонамерени сайтове.

Подозрителни канали за разпространение : пиратски софтуер, кракове, безплатен софтуер на трети страни и P2P мрежи.

Фалшиви актуализации : Подвеждащи подкани, които подканват потребителите да инсталират фалшиви актуализации за сигурност или система.

Саморазпространение : Някои варианти на зловреден софтуер се разпространяват автономно чрез локални мрежи или външни устройства.

Долната линия

Присъствието на Shamos в системата може да доведе до сериозни нарушения на поверителността, кражба на самоличност, финансови загуби и множество инфекции чрез верижни атаки. Моделът MaaS гарантира, че ще остане достъпен дори за нискоквалифицирани злонамерени лица, което го прави постоянна опасност за потребителите на macOS по целия свят.

Тенденция

Най-гледан

Зловреден софтуер

Фишинг, Спам
35,927
Съобщението за измама „Apple Pay Suspended“ е вид фишинг тактика, насочена към потребителите на Apple Pay. Съобщението твърди, че портфейлът на Apple Pay на потребителя е спрян и ги призовава да кликнат върху връзка, за да го възстановят. Щракването върху връзката обаче ще отведе потребителя до фалшив уебсайт, който е предназначен да открадне тяхната лична и финансова информация. Ако потребител...
Зареждане...