Shamos Stealer
„Shamos“ yra neseniai identifikuota „macOS“ kenkėjiška programa, specialiai sukurta įsilaužti į „macOS“ įrenginius. Ši kenkėjiška programa, veikianti bent nuo 2025 m. vasaros, yra valdoma kaip „MaaS“ (MaaS) paslauga, kurią teikia grupė, žinoma kaip „COOKIE SPIDER“. Pagrindinis jos platinimo būdas buvo „ClickFix“ sukčiavimo atvejai – technika, kuri vis labiau populiarėja tarp kibernetinių nusikaltėlių, taikančiųsi į „macOS“ naudotojus. „Shamos“ buvo identifikuota kaip mobiliosios grėsmės „AMOS (Atomic) Stealer“ variantas.
Turinys
Pradinis infekcijos kelias
„Shamos“ daugiausia infiltruojasi į sistemas per „ClickFix“ sukčiavimo schemas, kurios apgaule priverčia vartotojus nukopijuoti ir įklijuoti kenkėjiškas komandas į terminalą. Šis veiksmas suaktyvina „Bash“ scenarijaus, kuris apeina „Gatekeeper“ patikras, vagia prisijungimo duomenis ir galiausiai įdiegia „Mach-O“ failą su „Shamos“. Šis metodas, išnaudodamas vartotojų pasitikėjimą trikčių šalinimo patarimais, žymiai padidina užkrėtimo lygį.
Slaptas veikimas ir duomenų rinkimas
Paleidus „Shamos“, programa naudoja antianalizės mechanizmus, kad aptiktų, ar veikia virtualioje mašinoje, ar smėlio dėžėje. Jei nustato, kad aplinka yra tikra, pradedama rinkti išsamius duomenis. Kenkėjiška programa ieško failų, susietų su slaptažodžiais, kriptovaliutų piniginėmis ir jautriais sistemos duomenimis.
Pagrindinės dominančios sritys:
„Keychain Access“ : „Apple“ sukurta slaptažodžių saugojimo programa.
„Notes“ programėlė : vartotojai dažnai netinkamai naudoja ją asmeninėms duomenims saugoti.
Žiniatinklio naršyklės : gausus naršymo istorijos, slapukų, automatinio pildymo įrašų, saugomų prisijungimo duomenų ir mokėjimo informacijos šaltinis.
Plėtra ne tik duomenų vagystei
„Shamos“ neapsiriboja vien kredencialų rinkimu. Pastebėta, kad jis atsisiunčia ir papildomus naudinguosius duomenis, įskaitant:
- Botneto modulis didelio masto tinklo išnaudojimui.
- Netikra „Ledger Live“ piniginės programėlė, skirta apgauti kriptovaliutų naudotojus.
Tokios galimybės paverčia „Shamos“ vartais į platesnes infekcijas, įskaitant išpirkos reikalaujančias programas, Trojos arklius, kriptovaliutų kasimo programas ir kitas didelio poveikio grėsmes.
Geografinė taikymas ir išskyrimai
„Shamos“ platinimo kampanijos daugiausia buvo nukreiptos į vartotojus Jungtinėse Amerikos Valstijose, Jungtinėje Karalystėje, Kanadoje, Kinijoje, Kolumbijoje, Italijoje, Japonijoje ir Meksikoje. Viena pastebima išimtis yra Rusija, kuri atitinka įprastą Rusijoje įsikūrusių „MaaS“ operatorių praktiką vengti vietinių taikinių.
„ClickFix“ sukčiavimo atvejai
„Shamos“ kampanijų kertinis akmuo yra kenkėjiška reklama ir SEO optimizavimas, nukreipiantis aukas į apgaulingas svetaines, užmaskuotas kaip teisėti „Mac“ palaikymo puslapiai. Šios svetainės naudoja autentišką prekės ženklą, kad sukurtų pasitikėjimą prieš nurodydamos vartotojams vykdyti kenksmingas komandas.
Be to, kibernetiniai nusikaltėliai naudojo apgaulingas „GitHub“ saugyklas, siūlydami nemokamai atsisiųsti populiarius „Mac“ įrankius, tokius kaip „iTerm2“, CAD programinę įrangą, vaizdo įrašų redagavimo priemones, dirbtinio intelekto įrankius ir optimizavimo programas.
Kiti galimi platinimo būdai
Nors „ClickFix“ sukčiavimo atvejai išlieka pagrindiniu platinimo būdu, „Shamos“ taip pat gali būti platinami naudojant tradicinius kenkėjiškų programų platinimo būdus, įskaitant:
Sukčiavimas apsimetant ir socialinė inžinerija : kenkėjiškos nuorodos ar priedai el. paštu, asmeninėmis žinutėmis arba tiesioginėmis žinutėmis.
Automatiniai atsisiuntimai ir kenkėjiška reklama : paslėpti duomenys pažeistose arba kenkėjiškose svetainėse.
Įtartini platinimo kanalai : piratinė programinė įranga, nulaužtos programos, trečiųjų šalių nemokama programinė įranga ir P2P tinklai.
Netikri atnaujinimai : apgaulingi raginimai, raginantys vartotojus įdiegti netikrus saugos ar sistemos atnaujinimus.
Savaiminis plitimas : Kai kurie kenkėjiškų programų variantai plinta autonomiškai per vietinius tinklus arba išorinius diskus.
Esmė
„Shamos“ buvimas sistemoje gali sukelti rimtų privatumo pažeidimų, tapatybės vagysčių, finansinių nuostolių ir daugybinių infekcijų per grandinines atakas. Jos „MaaS“ modelis užtikrina, kad ji išliks prieinama net ir mažai įgūdžių turintiems grėsmių veikėjams, todėl ji kelia nuolatinį pavojų „macOS“ vartotojams visame pasaulyje.
