Shamos Stealer
Shamos è un malware per macOS identificato di recente, specificamente progettato per compromettere i dispositivi macOS. Attivo almeno dall'estate del 2025, questo malware è gestito come un'offerta Malware-as-a-Service (MaaS) da un gruppo noto come COOKIE SPIDER. Il suo principale vettore di diffusione sono state le truffe ClickFix, una tecnica sempre più popolare tra i criminali informatici che prendono di mira gli utenti macOS. Shamos è stato identificato come una variante della minaccia mobile AMOS (Atomic) Stealer .
Sommario
Percorso di infezione iniziale
Shamos si infiltra principalmente nei sistemi tramite truffe ClickFix, che inducono gli utenti a copiare e incollare comandi dannosi nel Terminale. Questa azione attiva il download di uno script Bash che aggira i controlli di Gatekeeper, ruba le credenziali di accesso e infine distribuisce un file Mach-O contenente Shamos. Sfruttando la fiducia degli utenti nei consigli per la risoluzione dei problemi, questo metodo aumenta significativamente i tassi di infezione.
Stealth e raccolta dati
Una volta eseguito, Shamos impiega meccanismi di anti-analisi per rilevare se è in esecuzione in una macchina virtuale o in un sandbox. Se determina che l'ambiente è autentico, avvia un'ampia raccolta di dati. Il malware cerca file associati a password, wallet di criptovalute e dati di sistema sensibili.
Le principali aree di interesse includono:
Accesso Portachiavi : l'utilità nativa di Apple per l'archiviazione delle password.
App Note : spesso utilizzata in modo improprio dagli utenti per memorizzare dati privati.
Browser Web : una ricca fonte di cronologie di navigazione, cookie, voci di compilazione automatica, credenziali memorizzate e dettagli di pagamento.
Andare oltre il furto di dati
Shamos non si limita alla raccolta di credenziali. È stato osservato anche il download di altri payload, tra cui:
- Un modulo botnet per lo sfruttamento di reti su larga scala.
- Un'app di portafoglio Ledger Live falsa, progettata per ingannare gli utenti di criptovalute.
Tali capacità rendono Shamos una porta d'accesso a infezioni più ampie, tra cui ransomware, trojan, cryptominer e altre minacce ad alto impatto.
Targeting geografico ed esclusioni
Le campagne che distribuiscono Shamos hanno preso di mira principalmente utenti negli Stati Uniti, nel Regno Unito, in Canada, Cina, Colombia, Italia, Giappone e Messico. Un'esclusione degna di nota è la Russia, in linea con la pratica comune degli operatori MaaS con sede in Russia di evitare obiettivi locali.
Truffe ClickFix in azione
Il fulcro delle campagne Shamos è il malvertising e l'avvelenamento SEO, che indirizzano le vittime verso siti web fraudolenti camuffati da pagine di supporto Mac legittime. Questi siti web utilizzano un branding autentico per creare fiducia prima di chiedere agli utenti di eseguire comandi dannosi.
Inoltre, i criminali informatici hanno utilizzato repository GitHub ingannevoli, offrendo download gratuiti di strumenti Mac popolari come iTerm2, software CAD, editor video, strumenti di intelligenza artificiale e programmi di ottimizzazione.
Altri possibili metodi di distribuzione
Sebbene le truffe ClickFix rimangano il principale meccanismo di distribuzione, Shamos potrebbe diffondersi anche attraverso tecniche di distribuzione di malware più tradizionali, tra cui:
Phishing e ingegneria sociale : link o allegati dannosi tramite e-mail, messaggi privati o messaggi diretti.
Download drive-by e malvertising : payload nascosti su siti compromessi o dannosi.
Canali di distribuzione sospetti : software pirata, crack, freeware di terze parti e reti P2P.
Aggiornamenti falsi : messaggi ingannevoli che invitano gli utenti a installare falsi aggiornamenti di sicurezza o di sistema.
Autoproliferazione : alcune varianti di malware si diffondono autonomamente attraverso reti locali o unità esterne.
La conclusione
La presenza di Shamos su un sistema può portare a gravi violazioni della privacy, furto di identità, perdite finanziarie e infezioni multiple attraverso attacchi concatenati. Il suo modello MaaS garantisce che rimanga accessibile anche ad autori di minacce poco qualificati, rendendolo un pericolo persistente per gli utenti macOS di tutto il mondo.
