Zloděj Shamos
Shamos je nedávno identifikovaný malware pro macOS, který je speciálně navržen k napadení zařízení macOS. Tento malware, aktivní přinejmenším od léta 2025, je provozován jako nabídka Malware-as-a-Service (MaaS) skupinou známou jako COOKIE SPIDER. Jeho primárním distribučním vektorem jsou podvody ClickFix, technika stále populárnější mezi kyberzločinci cílícími na uživatele macOS. Shamos byl identifikován jako varianta mobilní hrozby AMOS (Atomic) Stealer .
Obsah
Počáteční cesta infekce
Shamos infiltruje systémy primárně prostřednictvím podvodných útoků ClickFix, které lstí uživatele přimějí ke kopírování a vkládání škodlivých příkazů do terminálu. Tato akce spouští stažení skriptu Bash, který obchází kontroly Gatekeeperem, krade přihlašovací údaje a nakonec nasazuje soubor Mach-O obsahující Shamos. Zneužíváním důvěry uživatelů v rady pro řešení problémů tato metoda výrazně zvyšuje míru infekce.
Stealth a sběr dat
Jakmile je Shamos spuštěn, využívá mechanismy antianalýzy k detekci, zda běží na virtuálním počítači nebo v sandboxu. Pokud zjistí, že prostředí je originální, zahájí rozsáhlý sběr dat. Malware hledá soubory spojené s hesly, kryptoměnovými peněženkami a citlivými systémovými daty.
Mezi klíčové oblasti zájmu patří:
Přístup s klíčenkou : Nativní nástroj od společnosti Apple pro ukládání hesel.
Aplikace Poznámky : Uživatelé ji často zneužívají k ukládání soukromých údajů.
Webové prohlížeče : Bohatý zdroj historie prohlížení, souborů cookie, položek automatického vyplňování, uložených přihlašovacích údajů a platebních údajů.
Rozšíření za hranice krádeže dat
Shamos se neomezuje pouze na sběr přihlašovacích údajů. Bylo pozorováno stahování dalších dat, včetně:
- Modul botnetu pro rozsáhlé zneužívání sítí.
- Falešná aplikace peněženky Ledger Live, navržená k oklamání uživatelů kryptoměn.
Díky těmto schopnostem je Shamos vstupní branou k širším infekcím, včetně ransomwaru, trojských koní, těžařů kryptoměn a dalších vysoce rizikových hrozeb.
Geografické cílení a vyloučení
Kampaně distribuující Shamos se zaměřily především na uživatele ve Spojených státech, Velké Británii, Kanadě, Číně, Kolumbii, Itálii, Japonsku a Mexiku. Jednou z významných výjimek je Rusko, což je v souladu s běžnou praxí ruských provozovatelů MaaS, kteří se vyhýbají místním cílům.
Podvody ClickFix v akci
Základem kampaní Shamos je malware a SEO poisoning, které oběti přesměrují na podvodné webové stránky maskované jako legitimní stránky podpory pro Mac. Tyto webové stránky používají autentický branding k budování důvěry, než uživatelům nařídí provést škodlivé příkazy.
Kyberzločinci navíc používají podvodné repozitáře GitHub, které nabízejí bezplatné stažení populárních nástrojů pro Mac, jako je iTerm2, CAD software, video editory, nástroje pro umělou inteligenci a optimalizační programy.
Další možné metody distribuce
Zatímco podvody ClickFix zůstávají primárním mechanismem šíření, Shamos se může šířit i tradičnějšími technikami distribuce malwaru, včetně:
Phishing a sociální inženýrství : Škodlivé odkazy nebo přílohy prostřednictvím e-mailů, soukromých zpráv nebo přímých zpráv.
Drive-By stahování a malware : Skryté datové zásilky na napadených nebo škodlivých stránkách.
Podezřelé distribuční kanály : Pirátský software, cracky, freeware třetích stran a P2P sítě.
Falešné aktualizace : Klamavé výzvy nabádající uživatele k instalaci falešných bezpečnostních nebo systémových aktualizací.
Samošíření : Některé varianty malwaru se šíří autonomně prostřednictvím lokálních sítí nebo externích disků.
Sečteno a podtrženo
Přítomnost Shamosu v systému může vést k závažným narušením soukromí, krádežím identity, finančním ztrátám a vícenásobným infekcím prostřednictvím řetězených útoků. Jeho model MaaS zajišťuje, že zůstane dostupný i pro méně kvalifikované aktéry útoků, což z něj činí trvalé nebezpečí pro uživatele macOS po celém světě.
