Shamos Stealer
Shamos er en nyligt identificeret macOS-malware, der er specifikt designet til at kompromittere macOS-enheder. Denne malware, der har været aktiv siden mindst sommeren 2025, drives som et Malware-as-a-Service (MaaS)-tilbud af en gruppe kendt som COOKIE SPIDER. Dens primære leveringsvektor har været ClickFix-svindel, en teknik, der er stadig mere populær blandt cyberkriminelle, der målretter macOS-brugere. Shamos er blevet identificeret som en variant af AMOS (Atomic) Stealer- mobiltruslen.
Indholdsfortegnelse
Indledende infektionsvej
Shamos infiltrerer primært systemer via ClickFix-svindelnumre, der narrer brugere til at kopiere og indsætte ondsindede kommandoer i terminalen. Denne handling udløser download af et Bash-script, der omgår Gatekeeper-kontroller, stjæler loginoplysninger og i sidste ende implementerer en Mach-O-fil, der indeholder Shamos. Ved at udnytte brugernes tillid til fejlfindingsråd øger denne metode infektionsraterne betydeligt.
Stealth og dataindsamling
Når den er kørt, anvender Shamos antianalysemekanismer til at detektere, om den kører i en virtuel maskine eller sandkasse. Hvis den fastslår, at miljøet er ægte, begynder den omfattende dataindsamling. Malwaren jagter efter filer knyttet til adgangskoder, kryptovaluta-wallets og følsomme systemdata.
Vigtige interesseområder omfatter:
Nøgleringadgang : Apples indbyggede værktøj til lagring af adgangskoder.
Notes-app : Misbruges ofte af brugere til at gemme private oplysninger.
Webbrowsere : En rig kilde til browserhistorik, cookies, autofyldningsposter, gemte loginoplysninger og betalingsoplysninger.
Udvidelse ud over datatyveri
Shamos er ikke begrænset til indsamling af legitimationsoplysninger. Det er blevet observeret, at det downloader yderligere nyttelast, herunder:
- Et botnetmodul til storstilet netværksudnyttelse.
- En falsk Ledger Live wallet-app, designet til at narre kryptovalutabrugere.
Sådanne funktioner gør Shamos til en indgangsport til bredere infektioner, herunder ransomware, trojanske heste, kryptominere og andre trusler med stor indflydelse.
Geografisk målretning og ekskluderinger
Kampagner, der distribuerer Shamos, har primært været rettet mod brugere i USA, Storbritannien, Canada, Kina, Colombia, Italien, Japan og Mexico. En bemærkelsesværdig undtagelse er Rusland, hvilket stemmer overens med den almindelige praksis, hvor russisk-baserede MaaS-operatører undgår lokale mål.
ClickFix-svindel i aktion
Hjørnestenen i Shamos-kampagner ligger i malvertising og SEO-forgiftning, som driver ofre til falske websteder forklædt som legitime Mac-supportsider. Disse websteder bruger autentisk branding til at opbygge tillid, før de instruerer brugerne i at udføre skadelige kommandoer.
Derudover har cyberkriminelle brugt vildledende GitHub-lagre, der tilbyder gratis downloads til populære Mac-værktøjer som iTerm2, CAD-software, videoredigeringsprogrammer, AI-værktøjer og optimeringsprogrammer.
Andre mulige distributionsmetoder
Selvom ClickFix-svindel stadig er den primære leveringsmekanisme, kan Shamos også spredes gennem mere traditionelle malware-distributionsteknikker, herunder:
Phishing og social engineering : Ondsindede links eller vedhæftede filer via e-mail, private beskeder eller direkte beskeder.
Drive-By Downloads og Malvertising : Skjulte data på kompromitterede eller ondsindede websteder.
Mistænkelige distributionskanaler : Piratkopieret software, cracks, tredjeparts freeware og P2P-netværk.
Falske opdateringer : Vildledende prompts, der opfordrer brugerne til at installere falske sikkerheds- eller systemopdateringer.
Selvspredning : Nogle malwarevarianter spredes autonomt via lokale netværk eller eksterne drev.
Den nederste linje
Tilstedeværelsen af Shamos på et system kan føre til alvorlige krænkelser af privatlivets fred, identitetstyveri, økonomiske tab og flere infektioner gennem kædede angreb. Dens MaaS-model sikrer, at den forbliver tilgængelig for selv lavtuddannede trusselsaktører, hvilket gør den til en vedvarende fare for macOS-brugere verden over.
