Shamos Stealer

Shamos היא נוזקה של macOS שזוהתה לאחרונה, שנועדה במיוחד לפגוע במכשירי macOS. נוזקה זו, פעילה לפחות מאז קיץ 2025, מופעלת כשירות Malware-as-a-Service (MaaS) על ידי קבוצה המכונה COOKIE SPIDER. וקטור ההעברה העיקרי שלה היה הונאות ClickFix, טכניקה שהופכת פופולרית יותר ויותר בקרב פושעי סייבר המכוונים למשתמשי macOS. Shamos זוהתה כגרסה של איום המובייל AMOS (Atomic) Stealer .

מסלול ההדבקה הראשוני

Shamos חודרת בעיקר למערכות באמצעות הונאות ClickFix, אשר מרמים משתמשים להעתיק ולהדביק פקודות זדוניות לתוך הטרמינל. פעולה זו מפעילה הורדה של סקריפט Bash שעוקף בדיקות Gatekeeper, גונב פרטי כניסה ובסופו של דבר פורס קובץ Mach-O הנושא את Shamos. על ידי ניצול אמון המשתמשים בעצות לפתרון בעיות, שיטה זו מגדילה משמעותית את שיעורי ההדבקה.

התגנבות ואיסוף נתונים

לאחר ההפעלה, Shamos משתמש במנגנוני אנטי-אנליזה כדי לזהות האם הוא פועל במכונה וירטואלית או בארגז חול. אם הוא קובע שהסביבה מקורית, הוא מתחיל באיסוף נתונים נרחב. הנוזקה מחפשת קבצים הקשורים לסיסמאות, ארנקי קריפטו ונתוני מערכת רגישים.

תחומי עניין מרכזיים כוללים:

גישה למחזיקי מפתחות : כלי אחסון סיסמאות מקורי של אפל.

אפליקציית הערות : לעתים קרובות מנוצלת לרעה על ידי משתמשים לאחסון פרטים פרטיים.

דפדפני אינטרנט : מקור עשיר של היסטוריית גלישה, קובצי Cookie, רשומות מילוי אוטומטי, פרטי גישה מאוחסנים ופרטי תשלום.

התרחבות מעבר לגניבת נתונים

שאמוס אינו מוגבל לאיסוף אישורים. הוא נצפה מוריד מטענים נוספים, כולל:

• מודול בוטנט לניצול רשת בקנה מידה גדול.
• אפליקציית ארנק Ledger Live מזויפת, שנועדה להערים על משתמשי מטבעות קריפטוגרפיים.

יכולות כאלה הופכות את Shamos לשער להדבקות רחבות יותר, כולל תוכנות כופר, סוסים טרויאניים, כורי קריפטו ואיומים אחרים בעלי השפעה גבוהה.

מיקוד גיאוגרפי והחרגות

קמפיינים להפצת שאמוס כוונו בעיקר למשתמשים בארצות הברית, בריטניה, קנדה, סין, קולומביה, איטליה, יפן ומקסיקו. החרגה בולטת אחת היא רוסיה, התואמת את הנוהג הנפוץ של מפעילי MaaS שבסיסם ברוסיה שנמנעים ממטרות מקומיות.

הונאות ClickFix בפעולה

אבן הפינה של קמפייני Shamos טמונה בפרסום זדוני והרעלת SEO, אשר מובילים קורבנות לאתרי אינטרנט הונאה המחופשים לדפי תמיכה לגיטימיים של מק. אתרים אלה משתמשים במיתוג אותנטי כדי לבנות אמון לפני שהם מורים למשתמשים לבצע פקודות מזיקות.

בנוסף, פושעי סייבר השתמשו במאגרי GitHub מטעים, והציעו הורדות בחינם עבור כלי מק פופולריים כמו iTerm2, תוכנות CAD, עורכי וידאו, כלי בינה מלאכותית ותוכנות אופטימיזציה.

שיטות הפצה אפשריות אחרות

בעוד שתרמיות ClickFix נותרות מנגנון ההפצה העיקרי, Shamos עלול להתפשט גם באמצעות טכניקות הפצת תוכנות זדוניות מסורתיות יותר, כולל:

פישינג והנדסה חברתית : קישורים או קבצים מצורפים זדוניים באמצעות דוא"ל, הודעות פרטיות או הודעות ישירות.

הורדות Drive-By ופרסום זדוני : מטענים מוסתרים באתרים פגועים או זדוניים.

ערוצי הפצה חשודים : תוכנה פיראטית, סדקים, תוכנות חינמיות של צד שלישי ורשתות P2P.

עדכונים מזויפים : הנחיות מטעות הקוראות למשתמשים להתקין עדכוני אבטחה או מערכת מזויפים.

הפצה עצמית : חלק מגרסאות התוכנה הזדונית מתפשטות באופן עצמאי דרך רשתות מקומיות או כוננים חיצוניים.

השורה התחתונה

נוכחותו של Shamos במערכת עלולה להוביל לפריצות חמורות לפרטיות, גניבת זהות, הפסדים כספיים והדבקות מרובות באמצעות התקפות משורשרות. מודל ה-MaaS שלו מבטיח שהוא יישאר נגיש אפילו לגורמי איום בעלי כישורים נמוכים, מה שהופך אותו לסכנה מתמשכת למשתמשי macOS ברחבי העולם.