Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós mòbil Lladre de Shamos

Lladre de Shamos

El Mezo el Programari maliciós mòbil, Ladrons
Traduir a:

Shamos és un programari maliciós per a macOS recentment identificat i dissenyat específicament per comprometre els dispositius macOS. Actiu des d'almenys l'estiu del 2025, aquest programari maliciós s'opera com a oferta de programari maliciós com a servei (MaaS) per part d'un grup conegut com a COOKIE SPIDER. El seu principal vector de distribució han estat les estafes ClickFix, una tècnica cada cop més popular entre els ciberdelinqüents que s'adreça als usuaris de macOS. S'ha identificat que Shamos és una variant de l'amenaça mòbil AMOS (Atomic) Stealer .

Via d’infecció inicial

Shamos s'infiltra principalment en els sistemes a través d'estafes ClickFix, que enganyen els usuaris perquè copiïn i enganxin ordres malicioses al Terminal. Aquesta acció desencadena la descàrrega d'un script Bash que ignora les comprovacions de Gatekeeper, roba les credencials d'inici de sessió i, en última instància, desplega un fitxer Mach-O que conté Shamos. En explotar la confiança dels usuaris en els consells de resolució de problemes, aquest mètode augmenta significativament les taxes d'infecció.

Furt i recol·lecció de dades

Un cop executat, Shamos utilitza mecanismes anti-anàlisi per detectar si s'està executant en una màquina virtual o en un sandbox. Si determina que l'entorn és genuí, comença una extensa recopilació de dades. El programari maliciós busca fitxers vinculats a contrasenyes, moneders de criptomonedes i dades sensibles del sistema.

Les principals àrees d'interès inclouen:

Accés a Clauers : la utilitat nativa d'emmagatzematge de contrasenyes d'Apple.

Aplicació Notes : Sovint els usuaris l'utilitzen de manera indeguda per emmagatzemar dades privades.

Navegadors web : una font rica d'historials de navegació, galetes, entrades d'emplenament automàtic, credencials emmagatzemades i detalls de pagament.

Expansió més enllà del robatori de dades

Shamos no es limita a la recol·lecció de credencials. S'ha observat que descarrega càrregues útils addicionals, com ara:

  • Un mòdul de botnet per a l'explotació de xarxes a gran escala.
  • Una aplicació de moneder Ledger Live falsa, dissenyada per enganyar els usuaris de criptomonedes.

Aquestes capacitats converteixen Shamos en una porta d'entrada a infeccions més àmplies, com ara ransomware, troians, criptominers i altres amenaces d'alt impacte.

Segmentació geogràfica i exclusions

Les campanyes que distribueixen Shamos s'han dirigit principalment a usuaris dels Estats Units, el Regne Unit, el Canadà, la Xina, Colòmbia, Itàlia, el Japó i Mèxic. Una exclusió notable és Rússia, que s'alinea amb la pràctica habitual dels operadors MaaS amb seu a Rússia d'evitar objectius locals.

Estafes de ClickFix en acció

La pedra angular de les campanyes de Shamos rau en la publicitat maliciosa i la intoxicació per SEO, que condueixen les víctimes a llocs web fraudulents disfressats de pàgines de suport legítimes per a Mac. Aquests llocs web utilitzen una marca autèntica per generar confiança abans d'indicar als usuaris que executin ordres nocives.

A més, els ciberdelinqüents han utilitzat repositoris enganyosos de GitHub, oferint descàrregues gratuïtes d'eines populars per a Mac com ara iTerm2, programari CAD, editors de vídeo, eines d'IA i programes d'optimització.

Altres mètodes de distribució possibles

Tot i que les estafes de ClickFix continuen sent el principal mecanisme de distribució, les estafes de Shamos també es podrien propagar a través de tècniques de distribució de programari maliciós més tradicionals, com ara:

Phishing i enginyeria social : enllaços o fitxers adjunts maliciosos per correu electrònic, missatges privats o missatges directes.

Descàrregues automàticament i publicitat maliciosa : càrregues útils ocultes en llocs web compromesos o maliciosos.

Canals de distribució sospitosos : programari pirata, cracks, programari gratuït de tercers i xarxes P2P.

Actualitzacions falses : avisos enganyosos que insten els usuaris a instal·lar actualitzacions de seguretat o del sistema falses.

Autoproliferació : Algunes variants de programari maliciós es propaguen de forma autònoma a través de xarxes locals o unitats externes.

La conclusió

La presència de Shamos en un sistema pot provocar greus intrusions en la privadesa, robatori d'identitat, pèrdues financeres i múltiples infeccions a través d'atacs en cadena. El seu model MaaS garanteix que romandrà accessible fins i tot per a actors d'amenaces poc qualificats, convertint-lo en un perill persistent per als usuaris de macOS a tot el món.

Tendència

Més vist

Carregant...