Shamose varastaja
Shamos on hiljuti tuvastatud macOS-i pahavara, mis on spetsiaalselt loodud macOS-i seadmete rünnamiseks. See pahavara, mis on aktiivne olnud vähemalt alates 2025. aasta suvest, pakub teenusena pahavara (MaaS) rühmitust nimega COOKIE SPIDER. Selle peamine levik on olnud ClickFixi pettused, mis on macOS-i kasutajatele suunatud küberkurjategijate seas üha populaarsemaks muutuv tehnika. Shamos on tuvastatud mobiiliohu AMOS (Atomic) Stealer variandina.
Sisukord
Esialgne nakkusrada
Shamos imbub süsteemidesse peamiselt ClickFixi pettuste kaudu, mis meelitavad kasutajaid pahatahtlikke käske terminali kopeerima ja kleepima. See toiming käivitab Bash-skripti allalaadimise, mis möödub Gatekeeperi kontrollidest, varastab sisselogimisandmed ja lõpuks juurutab Shamost sisaldava Mach-O-faili. Kasutades ära kasutajate usaldust tõrkeotsingu nõuannete vastu, suurendab see meetod nakatumismäära märkimisväärselt.
Varjatud tegevus ja andmete kogumine
Pärast käivitamist kasutab Shamos antianalüüsi mehhanisme, et tuvastada, kas see töötab virtuaalmasinas või liivakastis. Kui see tuvastab keskkonna ehtsuse, alustab see ulatuslikku andmete kogumist. Pahavara otsib paroolide, krüptovaluuta rahakottide ja tundlike süsteemiandmetega seotud faile.
Peamised huvivaldkonnad on järgmised:
Võtmehoidja juurdepääs : Apple'i omapärane paroolide salvestamise utiliit.
Märkmete rakendus : Kasutajad kasutavad seda sageli privaatsete andmete salvestamiseks.
Veebibrauserid : rikkalik sirvimisajaloo, küpsiste, automaatselt täidetud kirjete, salvestatud volituste ja makseandmete allikas.
Andmevargusest kaugemale ulatuv tegevus
Shamos ei piirdu ainult volituste kogumisega. On täheldatud ka täiendavate kasulike andmete allalaadimist, sealhulgas:
- Botvõrgu moodul ulatuslikuks võrgu ärakasutamiseks.
- Võltsitud Ledger Live'i rahakotirakendus, mis on loodud krüptovaluuta kasutajate petmiseks.
Sellised võimed muudavad Shamose väravaks laiematele nakkustele, sealhulgas lunavarale, troojalastele, krüptokaevandajatele ja muudele suure mõjuga ohtudele.
Geograafiline sihtimine ja välistamised
Shamos'i levitavad kampaaniad on peamiselt suunatud kasutajatele Ameerika Ühendriikides, Ühendkuningriigis, Kanadas, Hiinas, Colombias, Itaalias, Jaapanis ja Mehhikos. Üks märkimisväärne erand on Venemaa, mis on kooskõlas Venemaal asuvate MaaS-operaatorite levinud praktikaga vältida kohalikke sihtrühmi.
ClickFixi pettused tegevuses
Shamose kampaaniate nurgakiviks on pahavara ja SEO mürgitamine, mis suunavad ohvrid petturlikele veebisaitidele, mis on maskeeritud seaduslikeks Maci tugilehtedeks. Need veebisaidid kasutavad autentset brändingut usalduse loomiseks enne, kui nad juhendavad kasutajaid kahjulike käskude täitmiseks.
Lisaks on küberkurjategijad kasutanud petlikke GitHubi repositooriume, pakkudes tasuta allalaadimist populaarsetele Maci tööriistadele nagu iTerm2, CAD-tarkvarale, videotöötlusprogrammidele, tehisintellekti tööriistadele ja optimeerimisprogrammidele.
Muud võimalikud levitamismeetodid
Kuigi ClickFixi pettused jäävad peamiseks levitusmehhanismiks, võidakse Shamost levitada ka traditsioonilisemate pahavara levitamise tehnikate kaudu, sealhulgas:
Andmepüük ja sotsiaalne manipuleerimine : pahatahtlikud lingid või manused e-posti, privaatsõnumite või otsesõnumite kaudu.
Automaatsed allalaadimised ja pahatahtlik reklaamimine : peidetud sisu ohustatud või pahatahtlikel saitidel.
Kahtlased levituskanalid : piraattarkvara, kräkid, kolmandate osapoolte tasuta tarkvara ja P2P-võrgud.
Võltsitud värskendused : petlikud juhised, mis õhutavad kasutajaid installima võltsitud turva- või süsteemivärskendusi.
Eneselevimine : Mõned pahavara variandid levivad autonoomselt kohalike võrkude või väliste draivide kaudu.
Lõppkokkuvõttes
Shamose olemasolu süsteemis võib kaasa tuua tõsiseid privaatsusrikkumisi, identiteedivargusi, rahalisi kaotusi ja mitmeid nakatumisi ahelrünnakute kaudu. Selle MaaS-mudel tagab, et see jääb ligipääsetavaks isegi madala kvalifikatsiooniga ohutegelastele, muutes selle püsivaks ohuks macOS-i kasutajatele kogu maailmas.
