Shamosin varastaja
Shamos on äskettäin tunnistettu macOS-haittaohjelma, joka on erityisesti suunniteltu vaarantamaan macOS-laitteita. Haittaohjelma on ollut aktiivinen ainakin kesästä 2025 lähtien, ja sitä käyttää Malware-as-a-Service (MaaS) -palveluna COOKIE SPIDER -niminen ryhmä. Sen ensisijainen levitysvektori on ollut ClickFix-huijaukset, tekniikka, joka on yhä suositumpi kyberrikollisten keskuudessa macOS-käyttäjiin kohdistuvien hyökkäysten kohteena. Shamosin on tunnistettu olevan muunnelma AMOS (Atomic) Stealer -mobiiliuhasta.
Sisällysluettelo
Alkuperäinen infektioreitti
Shamos tunkeutuu järjestelmiin pääasiassa ClickFix-huijausten kautta, jotka huijaavat käyttäjiä kopioimaan ja liittämään haitallisia komentoja terminaaliin. Tämä toiminto laukaisee Bash-skriptin latauksen, joka ohittaa Gatekeeper-tarkistukset, varastaa kirjautumistiedot ja lopulta ottaa käyttöön Shamos-tiedoston sisältävän Mach-O-tiedoston. Käyttämällä käyttäjien luottamusta vianetsintäohjeisiin tämä menetelmä lisää merkittävästi tartuntariskiä.
Hiiviskely ja tiedonkeruu
Suoritettuaan Shamos käyttää anti-analyysimekanismeja havaitakseen, toimiiko se virtuaalikoneessa vai hiekkalaatikossa. Jos se havaitsee ympäristön aidoksi, se aloittaa laajan tiedonkeruun. Haittaohjelma metsästää salasanoihin, kryptovaluuttalompakoihin ja arkaluonteisiin järjestelmätietoihin liittyviä tiedostoja.
Keskeisiä kiinnostuksen kohteita ovat:
Avainnipun käyttö : Applen oma salasanojen tallennusapuohjelma.
Muistiinpanosovellus : Käyttäjät käyttävät sitä usein väärin yksityisten tietojen tallentamiseen.
Verkkoselaimet : Runsas lähde selaushistorialle, evästeille, automaattisesti täytettäville tiedoille, tallennetuille tunnistetiedoille ja maksutiedoille.
Laajenemassa tietovarkauksien ulkopuolelle
Shamos ei rajoitu pelkästään tunnistetietojen keräämiseen. Sen on havaittu lataavan myös muita hyötykuormia, mukaan lukien:
- Botnet-moduuli laajamittaiseen verkon hyödyntämiseen.
- Väärennetty Ledger Live -lompakkosovellus, joka on suunniteltu huijaamaan kryptovaluuttojen käyttäjiä.
Tällaiset ominaisuudet tekevät Shamosista portin laajempiin tartuntoihin, kuten kiristysohjelmiin, troijalaisiin, kryptolouhijoihin ja muihin vaikuttaviin uhkiin.
Maantieteellinen kohdistus ja poissulkemiset
Shamoja levittävät kampanjat ovat kohdistuneet pääasiassa käyttäjiin Yhdysvalloissa, Isossa-Britanniassa, Kanadassa, Kiinassa, Kolumbiassa, Italiassa, Japanissa ja Meksikossa. Yksi huomattava poikkeus on Venäjä, mikä on linjassa venäläisten MaaS-operaattoreiden yleisen käytännön kanssa, jossa he välttävät paikallisia kohteita.
ClickFix-huijaukset toiminnassa
Shamos-kampanjoiden kulmakivi on haitallinen mainonta ja hakukoneoptimointi, jotka ohjaavat uhrit huijaussivustoille, jotka on naamioitu laillisiksi Mac-tukisivuiksi. Nämä verkkosivustot käyttävät aitoa brändäystä luottamuksen rakentamiseksi ennen kuin ne kehottavat käyttäjiä suorittamaan haitallisia komentoja.
Lisäksi kyberrikolliset ovat käyttäneet harhaanjohtavia GitHub-arkistoja, jotka tarjoavat ilmaisia latauksia suosituille Mac-työkaluille, kuten iTerm2:lle, CAD-ohjelmistoille, videonmuokkausohjelmille, tekoälytyökaluille ja optimointiohjelmille.
Muita mahdollisia jakelumenetelmiä
Vaikka ClickFix-huijaukset ovat edelleen ensisijainen levitystapa, Shamos-huijauksia voidaan levittää myös perinteisempien haittaohjelmien levitystekniikoiden avulla, mukaan lukien:
Tietojenkalastelu ja sosiaalinen manipulointi : Haitalliset linkit tai liitteet sähköpostitse, yksityisviesteissä tai suorissa viesteissä.
Automaattiset lataukset ja haittaohjelmamainonta : Piilotetut hyötykuormat vaarantuneilla tai haitallisilla sivustoilla.
Epäilyttävät jakelukanavat : Piraattiohjelmistot, crack-ohjelmat, kolmannen osapuolen ilmaisohjelmat ja P2P-verkot.
Väärennetyt päivitykset : Harhaanjohtavat kehotukset, jotka kehottavat käyttäjiä asentamaan väärennettyjä tietoturva- tai järjestelmäpäivityksiä.
Itseleviäminen : Jotkin haittaohjelmamuunnelmat leviävät itsenäisesti paikallisten verkkojen tai ulkoisten asemien kautta.
Lopputulos
Shamosin läsnäolo järjestelmässä voi johtaa vakaviin yksityisyyden loukkauksiin, identiteettivarkauksiin, taloudellisiin tappioihin ja useisiin tartuntoihin ketjuhyökkäysten kautta. Sen MaaS-malli varmistaa, että se pysyy saatavilla jopa vähän taitaville uhkatoimijoille, mikä tekee siitä jatkuvan uhkan macOS-käyttäjille maailmanlaajuisesti.
