Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό για κινητά Shamos Stealer

Shamos Stealer

Μέχρι το Mezo το Κακόβουλο λογισμικό για κινητά, Κλέφτες
Μετάφραση σε:

Το Shamos είναι ένα πρόσφατα αναγνωρισμένο κακόβουλο λογισμικό για macOS, ειδικά σχεδιασμένο για να παραβιάζει συσκευές macOS. Ενεργό τουλάχιστον από το καλοκαίρι του 2025, αυτό το κακόβουλο λογισμικό λειτουργεί ως προσφορά Malware-as-a-Service (MaaS) από μια ομάδα γνωστή ως COOKIE SPIDER. Ο κύριος φορέας παράδοσής του είναι οι απάτες ClickFix, μια τεχνική που είναι ολοένα και πιο δημοφιλής μεταξύ των κυβερνοεγκληματιών που στοχεύουν χρήστες macOS. Το Shamos έχει αναγνωριστεί ως μια παραλλαγή της απειλής για κινητά AMOS (Atomic) Stealer .

Αρχική οδός μόλυνσης

Το Shamos διεισδύει κυρίως στα συστήματα μέσω απατήσεων ClickFix, οι οποίες ξεγελούν τους χρήστες ώστε να αντιγράφουν και να επικολλούν κακόβουλες εντολές στο Τερματικό. Αυτή η ενέργεια ενεργοποιεί τη λήψη ενός σεναρίου Bash που παρακάμπτει τους ελέγχους Gatekeeper, κλέβει τα διαπιστευτήρια σύνδεσης και τελικά αναπτύσσει ένα αρχείο Mach-O που φέρει το Shamos. Εκμεταλλευόμενο την εμπιστοσύνη των χρηστών στις συμβουλές αντιμετώπισης προβλημάτων, αυτή η μέθοδος αυξάνει σημαντικά τα ποσοστά μόλυνσης.

Stealth και Συλλογή Δεδομένων

Μόλις εκτελεστεί, το Shamos χρησιμοποιεί μηχανισμούς anti-analysis για να ανιχνεύσει εάν εκτελείται σε εικονική μηχανή ή sandbox. Εάν διαπιστώσει ότι το περιβάλλον είναι γνήσιο, ξεκινά εκτεταμένη συλλογή δεδομένων. Το κακόβουλο λογισμικό αναζητά αρχεία που συνδέονται με κωδικούς πρόσβασης, πορτοφόλια κρυπτονομισμάτων και ευαίσθητα δεδομένα συστήματος.

Βασικοί τομείς ενδιαφέροντος περιλαμβάνουν:

Πρόσβαση σε Keychain : Το εγγενές βοηθητικό πρόγραμμα αποθήκευσης κωδικών πρόσβασης της Apple.

Εφαρμογή Σημειώσεων : Συχνά χρησιμοποιείται λανθασμένα από τους χρήστες για την αποθήκευση προσωπικών στοιχείων.

Προγράμματα περιήγησης ιστού : Μια πλούσια πηγή ιστορικού περιήγησης, cookies, καταχωρίσεων αυτόματης συμπλήρωσης, αποθηκευμένων διαπιστευτηρίων και στοιχείων πληρωμής.

Επεκτείνοντας πέρα από την κλοπή δεδομένων

Το Shamos δεν περιορίζεται στη συλλογή διαπιστευτηρίων. Έχει παρατηρηθεί ότι κατεβάζει επιπλέον ωφέλιμα φορτία, όπως:

  • Μια ενότητα botnet για εκμετάλλευση δικτύου μεγάλης κλίμακας.
  • Μια ψεύτικη εφαρμογή πορτοφολιού Ledger Live, σχεδιασμένη για να ξεγελάει τους χρήστες κρυπτονομισμάτων.

Τέτοιες δυνατότητες καθιστούν το Shamos μια πύλη προς ευρύτερες μολύνσεις, όπως ransomware, trojans, cryptominers και άλλες απειλές με υψηλό αντίκτυπο.

Γεωγραφική στόχευση και εξαιρέσεις

Οι καμπάνιες που διανέμουν το Shamos έχουν στοχεύσει κυρίως χρήστες στις Ηνωμένες Πολιτείες, το Ηνωμένο Βασίλειο, τον Καναδά, την Κίνα, την Κολομβία, την Ιταλία, την Ιαπωνία και το Μεξικό. Μια αξιοσημείωτη εξαίρεση είναι η Ρωσία, η οποία ευθυγραμμίζεται με την κοινή πρακτική των παρόχων MaaS με έδρα τη Ρωσία να αποφεύγουν τους τοπικούς στόχους.

Απάτες ClickFix σε δράση

Ο ακρογωνιαίος λίθος των καμπανιών Shamos έγκειται στο κακόβουλο διαφημιστικό περιεχόμενο και το SEO poisoning, τα οποία οδηγούν τα θύματα σε δόλιες ιστοσελίδες που μεταμφιέζονται σε νόμιμες σελίδες υποστήριξης Mac. Αυτές οι ιστοσελίδες χρησιμοποιούν αυθεντική επωνυμία για να χτίσουν εμπιστοσύνη πριν δώσουν εντολή στους χρήστες να εκτελέσουν επιβλαβείς εντολές.

Επιπλέον, οι κυβερνοεγκληματίες έχουν χρησιμοποιήσει παραπλανητικά αποθετήρια GitHub, προσφέροντας δωρεάν λήψεις για δημοφιλή εργαλεία Mac, όπως το iTerm2, λογισμικό CAD, προγράμματα επεξεργασίας βίντεο, εργαλεία τεχνητής νοημοσύνης και προγράμματα βελτιστοποίησης.

Άλλες πιθανές μέθοδοι διανομής

Ενώ οι απάτες ClickFix παραμένουν ο κύριος μηχανισμός διανομής, το Shamos θα μπορούσε επίσης να εξαπλωθεί μέσω πιο παραδοσιακών τεχνικών διανομής κακόβουλου λογισμικού, όπως:

Ηλεκτρονικό "ψάρεμα" (phishing) και κοινωνική μηχανική : Κακόβουλοι σύνδεσμοι ή συνημμένα μέσω email, προσωπικών μηνυμάτων ή άμεσων μηνυμάτων.

Λήψεις από το Drive-By και κακόβουλες διαφημίσεις : Κρυφά φορτία σε παραβιασμένους ή κακόβουλους ιστότοπους.

Ύποπτα Κανάλια Διανομής : Πειρατικό λογισμικό, cracks, δωρεάν λογισμικό τρίτων και δίκτυα P2P.

Ψεύτικες ενημερώσεις : Παραπλανητικά μηνύματα που παροτρύνουν τους χρήστες να εγκαταστήσουν ψεύτικες ενημερώσεις ασφαλείας ή συστήματος.

Αυτοδιάδοση : Ορισμένες παραλλαγές κακόβουλου λογισμικού εξαπλώνονται αυτόνομα μέσω τοπικών δικτύων ή εξωτερικών μονάδων δίσκου.

Η Συμπέρασμα

Η παρουσία του Shamos σε ένα σύστημα μπορεί να οδηγήσει σε σοβαρές παραβιάσεις απορρήτου, κλοπή ταυτότητας, οικονομικές απώλειες και πολλαπλές μολύνσεις μέσω αλυσιδωτών επιθέσεων. Το μοντέλο MaaS που διαθέτει διασφαλίζει ότι θα παραμείνει προσβάσιμο ακόμη και σε απειλητικούς παράγοντες χαμηλής εξειδίκευσης, καθιστώντας το έναν διαρκή κίνδυνο για τους χρήστες macOS παγκοσμίως.

Τάσεις

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
35,927
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...