Shamos Stealer
Shamos ir nesen identificēta macOS ļaunprogrammatūra, kas īpaši izstrādāta, lai apdraudētu macOS ierīces. Šī ļaunprogrammatūra, kas ir aktīva vismaz kopš 2025. gada vasaras, tiek izmantota kā ļaunprogrammatūra kā pakalpojums (MaaS), ko piedāvā grupa, kas pazīstama kā COOKIE SPIDER. Tās galvenais piegādes vektors ir ClickFix krāpniecība — tehnika, kas kļūst arvien populārāka kibernoziedznieku vidū, kuri mērķē uz macOS lietotājiem. Shamos ir identificēts kā mobilo ierīču apdraudējuma AMOS (Atomic) Stealer variants.
Satura rādītājs
Sākotnējais inficēšanās ceļš
Shamos galvenokārt iefiltrējas sistēmās, izmantojot ClickFix krāpniecības shēmas, kas maldina lietotājus, liekot tiem kopēt un ielīmēt ļaunprātīgas komandas terminālī. Šī darbība aktivizē Bash skripta lejupielādi, kas apiet Gatekeeper pārbaudes, zog pieteikšanās akreditācijas datus un galu galā izvieto Mach-O failu, kurā ir Shamos. Izmantojot lietotāju uzticību problēmu novēršanas padomiem, šī metode ievērojami palielina inficēšanās līmeni.
Slepenība un datu ievākšana
Kad Shamos ir palaists, tas izmanto antianalīzes mehānismus, lai noteiktu, vai tas darbojas virtuālajā mašīnā vai smilškastē. Ja tas nosaka, ka vide ir īsta, tas sāk plašu datu vākšanu. Ļaunprogrammatūra meklē failus, kas saistīti ar parolēm, kriptovalūtas makiem un sensitīviem sistēmas datiem.
Galvenās interešu jomas ir šādas:
Keychain Access : Apple iebūvētā paroļu glabāšanas utilīta.
Lietotne Piezīmes : Lietotāji to bieži ļaunprātīgi izmanto privātas informācijas glabāšanai.
Tīmekļa pārlūkprogrammas : bagātīgs pārlūkošanas vēstures, sīkfailu, automātiskās aizpildes ierakstu, saglabāto akreditācijas datu un maksājumu informācijas avots.
Paplašinoties ārpus datu zādzībām
Shamos neaprobežojas tikai ar akreditācijas datu iegūšanu. Ir novērots, ka tiek lejupielādētas papildu vērtuma slodzes, tostarp:
- Botneta modulis liela mēroga tīkla izmantošanai.
- Viltus Ledger Live maka lietotne, kas paredzēta kriptovalūtas lietotāju apmānīšanai.
Šādas iespējas padara Shamos par vārtiem uz plašākām infekcijām, tostarp izspiedējvīrusiem, Trojas zirgiem, kriptovalūtu ieguves programmām un citiem augstas ietekmes apdraudējumiem.
Ģeogrāfiskā mērķauditorijas atlase un izslēgšana
Shamos izplatīšanas kampaņas galvenokārt ir vērstas uz lietotājiem Amerikas Savienotajās Valstīs, Apvienotajā Karalistē, Kanādā, Ķīnā, Kolumbijā, Itālijā, Japānā un Meksikā. Viens ievērojams izņēmums ir Krievija, kas atbilst Krievijā bāzēto MaaS operatoru vispārpieņemtajai praksei izvairīties no vietējiem mērķiem.
ClickFix krāpniecības darbībā
Shamos kampaņu stūrakmens ir ļaunprātīga reklamēšana un SEO piesārņošana, kas upurus virza uz krāpnieciskām tīmekļa vietnēm, kas maskējas kā likumīgas Mac atbalsta lapas. Šīs tīmekļa vietnes izmanto autentisku zīmolu, lai veidotu uzticību, pirms liek lietotājiem izpildīt kaitīgas komandas.
Turklāt kibernoziedznieki ir izmantojuši maldinošas GitHub krātuves, piedāvājot bezmaksas lejupielādes populāriem Mac rīkiem, piemēram, iTerm2, CAD programmatūrai, video redaktoriem, mākslīgā intelekta rīkiem un optimizācijas programmām.
Citas iespējamās izplatīšanas metodes
Lai gan ClickFix krāpniecība joprojām ir galvenais piegādes mehānisms, Shamos var tikt izplatīts arī, izmantojot tradicionālākas ļaunprogrammatūras izplatīšanas metodes, tostarp:
Pikšķerēšana un sociālā inženierija : ļaunprātīgas saites vai pielikumi, kas nosūtīti e-pastā, privātās ziņās vai tiešajos ziņojumos.
Drive-By lejupielādes un ļaunprātīga reklamēšana : slēpta slodze apdraudētās vai ļaunprātīgās vietnēs.
Aizdomīgi izplatīšanas kanāli : pirātiska programmatūra, kreki, trešo pušu bezmaksas programmatūra un P2P tīkli.
Viltus atjauninājumi : Maldinoši aicinājumi instalēt viltotus drošības vai sistēmas atjauninājumus.
Pašizplatīšanās : Daži ļaunprogrammatūras varianti izplatās autonomi, izmantojot lokālos tīklus vai ārējos diskus.
Galvenais secinājums
Shamos klātbūtne sistēmā var izraisīt nopietnus privātuma pārkāpumus, identitātes zādzības, finansiālus zaudējumus un vairākas inficēšanās, izmantojot ķēdes uzbrukumus. Tās MaaS modelis nodrošina, ka tā paliks pieejama pat mazkvalificētiem apdraudējuma dalībniekiem, padarot to par pastāvīgu apdraudējumu macOS lietotājiem visā pasaulē.
