Shamosov kradljivac
Shamos je nedavno identificiran zlonamjerni softver za macOS posebno dizajniran za kompromitiranje macOS uređaja. Aktivan je barem od ljeta 2025., a ovaj zlonamjerni softver koristi se kao usluga (MaaS) koju nudi grupa poznata kao COOKIE SPIDER. Njegov primarni vektor isporuke bile su prijevare ClickFix, tehnika koja je sve popularnija među kibernetičkim kriminalcima koji ciljaju korisnike macOS-a. Shamos je identificiran kao varijanta mobilne prijetnje AMOS (Atomic) Stealer .
Sadržaj
Početni put infekcije
Shamos prvenstveno infiltrira sustave putem ClickFix prijevara, koje vara korisnike da kopiraju i lijepe zlonamjerne naredbe u Terminal. Ova radnja pokreće preuzimanje Bash skripte koja zaobilazi Gatekeeperove provjere, krade pristupne podatke i na kraju implementira Mach-O datoteku koja sadrži Shamos. Iskorištavanjem povjerenja korisnika u savjete za rješavanje problema, ova metoda značajno povećava stopu zaraze.
Prikrivenost i prikupljanje podataka
Nakon što se pokrene, Shamos koristi mehanizme anti-analize kako bi otkrio radi li u virtualnom stroju ili sandboxu. Ako utvrdi da je okruženje autentično, započinje opsežno prikupljanje podataka. Zlonamjerni softver traži datoteke vezane uz lozinke, novčanike s kriptovalutama i osjetljive sistemske podatke.
Ključna područja interesa uključuju:
Pristup putem privjeska za ključeve : Appleov izvorni uslužni program za pohranu lozinki.
Aplikacija za bilješke : Korisnici je često zloupotrebljavaju za pohranjivanje privatnih podataka.
Web preglednici : Bogat izvor povijesti pregledavanja, kolačića, unosa za automatsko popunjavanje, pohranjenih vjerodajnica i podataka o plaćanju.
Širenje izvan okvira krađe podataka
Shamos nije ograničen samo na prikupljanje vjerodajnica. Primijećeno je preuzimanje dodatnih korisnih podataka, uključujući:
- Botnet modul za iskorištavanje mreže velikih razmjera.
- Lažna aplikacija Ledger Live novčanika, dizajnirana za prevaru korisnika kriptovaluta.
Takve mogućnosti čine Shamos ulazom u šire infekcije, uključujući ransomware, trojance, kriptominere i druge prijetnje visokog utjecaja.
Geografsko ciljanje i izuzeća
Kampanje koje distribuiraju Shamo uglavnom su ciljale korisnike u Sjedinjenim Državama, Ujedinjenom Kraljevstvu, Kanadi, Kini, Kolumbiji, Italiji, Japanu i Meksiku. Jedna značajna iznimka je Rusija, što je u skladu s uobičajenom praksom ruskih MaaS operatera koji izbjegavaju lokalne ciljeve.
ClickFix prijevare u akciji
Temelj Shamosovih kampanja leži u zlonamjernom oglašavanju i SEO trovanju, što žrtve usmjerava na lažne web stranice prerušene u legitimne Mac stranice za podršku. Ove web stranice koriste autentično brendiranje kako bi izgradile povjerenje prije nego što upute korisnike da izvršavaju štetne naredbe.
Osim toga, kibernetički kriminalci koristili su obmanjujuće GitHub repozitorije, nudeći besplatna preuzimanja za popularne Mac alate kao što su iTerm2, CAD softver, video editori, AI alati i programi za optimizaciju.
Druge moguće metode distribucije
Iako ClickFix prijevare ostaju primarni mehanizam isporuke, Shamos se može širiti i tradicionalnijim tehnikama distribucije zlonamjernog softvera, uključujući:
Krađa identiteta i društveni inženjering : Zlonamjerne poveznice ili privitci putem e-pošte, privatnih poruka ili izravnih poruka.
Drive-By preuzimanja i zlonamjerno oglašavanje : Skriveni korisni sadržaji na kompromitiranim ili zlonamjernim web-lokacijama.
Sumnjivi distribucijski kanali : piratski softver, crackovi, besplatni softver trećih strana i P2P mreže.
Lažna ažuriranja : Obmanjujuće upute koje potiču korisnike na instaliranje lažnih sigurnosnih ili sistemskih ažuriranja.
Samoširenje : Neke varijante zlonamjernog softvera šire se autonomno putem lokalnih mreža ili vanjskih diskova.
Zaključak
Prisutnost Shamosa u sustavu može dovesti do ozbiljnih povreda privatnosti, krađe identiteta, financijskih gubitaka i višestrukih infekcija putem lančanih napada. Njegov MaaS model osigurava da će ostati dostupan čak i niskokvalificiranim akterima prijetnji, što ga čini trajnom opasnošću za korisnike macOS-a diljem svijeta.
