Shamos Stealer

Shamos یک بدافزار macOS است که اخیراً شناسایی شده و به‌طور خاص برای به خطر انداختن دستگاه‌های macOS طراحی شده است. این بدافزار که حداقل از تابستان ۲۰۲۵ فعال بوده است، به‌عنوان یک Malware-as-a-Service (MaaS) توسط گروهی به نام COOKIE SPIDER اداره می‌شود. بردار اصلی انتقال آن کلاهبرداری‌های ClickFix بوده است، تکنیکی که به‌طور فزاینده‌ای در بین مجرمان سایبری که کاربران macOS را هدف قرار می‌دهند، محبوب شده است. Shamos به‌عنوان نوعی از تهدید موبایل AMOS (Atomic) Stealer شناخته شده است.

مسیر اولیه عفونت

Shamos در درجه اول از طریق کلاهبرداری‌های ClickFix به سیستم‌ها نفوذ می‌کند، که کاربران را فریب می‌دهد تا دستورات مخرب را در ترمینال کپی و پیست کنند. این عمل باعث دانلود یک اسکریپت Bash می‌شود که بررسی‌های Gatekeeper را دور می‌زند، اعتبارنامه‌های ورود را می‌دزدد و در نهایت یک فایل Mach-O حاوی Shamos را مستقر می‌کند. با سوءاستفاده از اعتماد کاربر به توصیه‌های عیب‌یابی، این روش میزان آلودگی را به میزان قابل توجهی افزایش می‌دهد.

مخفی‌کاری و جمع‌آوری داده‌ها

پس از اجرا، Shamos از مکانیزم‌های ضد تحلیل برای تشخیص اینکه آیا در یک ماشین مجازی یا سندباکس اجرا می‌شود، استفاده می‌کند. اگر تشخیص دهد که محیط واقعی است، جمع‌آوری گسترده داده‌ها را آغاز می‌کند. این بدافزار به دنبال فایل‌های مرتبط با رمزهای عبور، کیف پول‌های ارز دیجیتال و داده‌های حساس سیستم می‌گردد.

زمینه‌های کلیدی مورد علاقه عبارتند از:

Keychain Access : ابزار ذخیره‌سازی رمز عبور بومی اپل.

برنامه یادداشت‌ها : اغلب توسط کاربران برای ذخیره اطلاعات خصوصی مورد سوءاستفاده قرار می‌گیرد.

مرورگرهای وب : منبع غنی از تاریخچه مرور، کوکی‌ها، ورودی‌های تکمیل خودکار، اعتبارنامه‌های ذخیره شده و جزئیات پرداخت.

فراتر از سرقت داده‌ها

Shamos محدود به جمع‌آوری اطلاعات اعتباری نیست. مشاهده شده است که این بدافزار، پیلودهای اضافی از جمله موارد زیر را نیز دانلود می‌کند:

• یک ماژول بات‌نت برای بهره‌برداری از شبکه در مقیاس بزرگ.
• یک برنامه کیف پول جعلی Ledger Live که برای فریب کاربران ارزهای دیجیتال طراحی شده است.

چنین قابلیت‌هایی، شاموس را به دروازه‌ای برای آلودگی‌های گسترده‌تر، از جمله باج‌افزارها، تروجان‌ها، کریپتوماینرها و سایر تهدیدات با تأثیر بالا تبدیل می‌کند.

هدف‌گیری جغرافیایی و استثنائات

کمپین‌های توزیع Shamos عمدتاً کاربرانی در ایالات متحده، بریتانیا، کانادا، چین، کلمبیا، ایتالیا، ژاپن و مکزیک را هدف قرار داده‌اند. یکی از موارد قابل توجه، روسیه است که با رویه رایج اپراتورهای MaaS مستقر در روسیه که از اهداف محلی اجتناب می‌کنند، همسو است.

کلاهبرداری‌های ClickFix در عمل

اساس کمپین‌های Shamos بر تبلیغات مخرب و مسمومیت سئو استوار است که قربانیان را به سمت وب‌سایت‌های جعلی که در پوشش صفحات پشتیبانی مک قانونی هستند، هدایت می‌کند. این وب‌سایت‌ها قبل از اینکه کاربران را به اجرای دستورات مضر هدایت کنند، از برندسازی معتبر برای ایجاد اعتماد استفاده می‌کنند.

علاوه بر این، مجرمان سایبری از مخازن فریبنده GitHub استفاده کرده‌اند و دانلود رایگان ابزارهای محبوب مک مانند iTerm2، نرم‌افزار CAD، ویرایشگرهای ویدیو، ابزارهای هوش مصنوعی و برنامه‌های بهینه‌سازی را ارائه می‌دهند.

سایر روش‌های توزیع ممکن

در حالی که کلاهبرداری‌های ClickFix همچنان مکانیسم اصلی توزیع هستند، Shamos می‌تواند از طریق تکنیک‌های توزیع بدافزار سنتی‌تر نیز پخش شود، از جمله:

فیشینگ و مهندسی اجتماعی : لینک‌ها یا پیوست‌های مخرب از طریق ایمیل، پیام‌های خصوصی یا پیام‌های مستقیم.

دانلودهای ناخواسته و تبلیغات مخرب : فایل‌های مخرب پنهان در سایت‌های آلوده یا مخرب.

کانال‌های توزیع مشکوک : نرم‌افزارهای غیرقانونی، کرک‌ها، نرم‌افزارهای رایگان شخص ثالث و شبکه‌های P2P.

به‌روزرسانی‌های جعلی : پیام‌های فریبنده‌ای که کاربران را به نصب به‌روزرسانی‌های امنیتی یا سیستمی جعلی ترغیب می‌کنند.

خود تکثیری : برخی از انواع بدافزارها به طور خودکار از طریق شبکه‌های محلی یا درایوهای خارجی پخش می‌شوند.

نکته‌ی آخر

وجود Shamos در یک سیستم می‌تواند منجر به نفوذ شدید به حریم خصوصی، سرقت هویت، ضررهای مالی و آلودگی‌های متعدد از طریق حملات زنجیره‌ای شود. مدل MaaS آن تضمین می‌کند که حتی برای عوامل تهدید کم‌مهارت نیز قابل دسترسی خواهد بود و آن را به یک خطر مداوم برای کاربران macOS در سراسر جهان تبدیل می‌کند.