Shamos tolvaj

A Shamos egy nemrég azonosított macOS kártevő, amelyet kifejezetten a macOS eszközök megfertőzésére terveztek. Legalább 2025 nyara óta aktív, ezt a kártevőt Malware-as-a-Service (MaaS) ajánlatként üzemelteti a COOKIE SPIDER néven ismert csoport. Elsődleges terjesztési vektora a ClickFix átverések voltak, ez a technika egyre népszerűbb a macOS felhasználókat célzó kiberbűnözők körében. A Shamost az AMOS (Atomic) Stealer mobilfenyegetés egy változataként azonosították.

Kezdeti fertőzési útvonal

A Shamos elsősorban ClickFix átveréseken keresztül szivárog be a rendszerekbe, amelyek ráveszik a felhasználókat, hogy rosszindulatú parancsokat másoljanak és illesszenek be a terminálba. Ez a művelet egy Bash szkript letöltését indítja el, amely megkerüli a Gatekeeper ellenőrzéseit, ellopja a bejelentkezési adatokat, és végül egy Shamost tartalmazó Mach-O fájlt telepít. A felhasználók hibaelhárítási tanácsokba vetett bizalmának kihasználásával ez a módszer jelentősen növeli a fertőzési arányt.

Lopakodás és adatgyűjtés

A Shamos futtatása után anti-analízis mechanizmusokat alkalmaz annak észlelésére, hogy virtuális gépen vagy sandboxban fut-e. Ha úgy ítéli meg, hogy a környezet valódi, kiterjedt adatgyűjtésbe kezd. A rosszindulatú program jelszavakhoz, kriptovaluta-tárcákhoz és érzékeny rendszeradatokhoz kapcsolódó fájlokat keres.

A főbb érdeklődési területek a következők:

Kulcstartó hozzáférés : Az Apple saját jelszótároló segédprogramja.

Jegyzetek alkalmazás : A felhasználók gyakran használják személyes adatok tárolására.

Webböngészők : Böngészési előzmények, sütik, automatikus kitöltési bejegyzések, tárolt hitelesítő adatok és fizetési adatok gazdag forrása.

Az adatlopáson túli terjeszkedés

A Shamos nem korlátozódik a hitelesítő adatok gyűjtésére. Megfigyelték, hogy további hasznos adatokat is letölt, beleértve:

• Egy botnet modul nagyszabású hálózati kiaknázáshoz.
• Egy hamis Ledger Live pénztárca alkalmazás, amelyet a kriptovaluta-felhasználók megtévesztésére terveztek.

Az ilyen képességek a Shamost átjáróvá teszik a szélesebb körű fertőzésekhez, beleértve a zsarolóvírusokat, trójaiakat, kriptobányászokat és más nagy hatású fenyegetéseket.

Földrajzi célzás és kizárások

A Shamos-t terjesztő kampányok főként az Egyesült Államokban, az Egyesült Királyságban, Kanadában, Kínában, Kolumbiában, Olaszországban, Japánban és Mexikóban élő felhasználókat céloztak meg. Egyetlen figyelemre méltó kivétel Oroszország, amely összhangban van az oroszországi MaaS-üzemeltetők helyi célpontok kerülésének bevett gyakorlatával.

ClickFix átverések működés közben

A Shamos kampányok sarokköve a rosszindulatú hirdetések és a SEO-mérgezés, amelyek az áldozatokat legitim Mac-támogatási oldalaknak álcázott csaló weboldalakra terelik. Ezek a weboldalak hiteles márkaépítéssel építik ki a bizalmat, mielőtt káros parancsok végrehajtására utasítanák a felhasználókat.

Ezenkívül a kiberbűnözők megtévesztő GitHub adattárakat is használtak, ingyenes letöltéseket kínálva népszerű Mac eszközökhöz, mint például az iTerm2, CAD szoftverekhez, videószerkesztőkhöz, mesterséges intelligencia eszközökhöz és optimalizáló programokhoz.

Egyéb lehetséges terjesztési módszerek

Míg a ClickFix átverések továbbra is az elsődleges terjesztési mechanizmusok, a Shamos a hagyományosabb rosszindulatú programok terjesztési módszereivel is terjedhet, beleértve:

Adathalászat és pszichológiai manipuláció : Rosszindulatú linkek vagy mellékletek e-mailben, privát üzenetekben vagy közvetlen üzenetekben.

Drive-By letöltések és rosszindulatú hirdetések : Rejtett hasznos tartalmak feltört vagy rosszindulatú webhelyeken.

Gyanús terjesztési csatornák : Kalózszoftverek, feltört szoftverek, harmadik féltől származó ingyenes szoftverek és P2P hálózatok.

Hamis frissítések : Megtévesztő üzenetek, amelyek hamis biztonsági vagy rendszerfrissítések telepítésére ösztönzik a felhasználókat.

Önszaporodás : Egyes rosszindulatú programváltozatok önállóan terjednek helyi hálózatokon vagy külső meghajtókon keresztül.

A lényeg

A Shamos jelenléte egy rendszeren súlyos adatvédelmi behatolásokhoz, személyazonosság-lopáshoz, pénzügyi veszteségekhez és többszörös fertőzésekhez vezethet láncolt támadásokon keresztül. MaaS modellje biztosítja, hogy még az alacsony képzettségű fenyegetések számára is elérhető maradjon, így állandó veszélyt jelent a macOS-felhasználók számára világszerte.