Pencuri Shamos
Shamos ialah perisian hasad macOS yang dikenal pasti baru-baru ini yang direka khusus untuk menjejaskan peranti macOS. Aktif sejak sekurang-kurangnya musim panas 2025, perisian hasad ini dikendalikan sebagai tawaran Malware-as-a-Service (MaaS) oleh kumpulan yang dikenali sebagai COOKIE SPIDER. Vektor penghantaran utamanya ialah penipuan ClickFix, teknik yang semakin popular di kalangan penjenayah siber yang menyasarkan pengguna macOS. Shamos telah dikenal pasti sebagai varian ancaman mudah alih AMOS (Atomic) Stealer .
Isi kandungan
Laluan Jangkitan Awal
Shamos terutamanya menyusup ke sistem melalui penipuan ClickFix, yang menipu pengguna untuk menyalin dan menampal arahan berniat jahat ke dalam Terminal. Tindakan ini mencetuskan muat turun skrip Bash yang memintas semakan Gatekeeper, mencuri bukti kelayakan log masuk dan akhirnya menggunakan fail Mach-O yang membawa Shamos. Dengan mengeksploitasi kepercayaan pengguna dalam nasihat penyelesaian masalah, kaedah ini meningkatkan kadar jangkitan dengan ketara.
Stealth dan Pengumpulan Data
Setelah dilaksanakan, Shamos menggunakan mekanisme anti-analisis untuk mengesan sama ada ia dijalankan dalam mesin maya atau kotak pasir. Jika ia menentukan persekitaran itu tulen, ia memulakan pengumpulan data yang meluas. Perisian hasad memburu fail yang terikat dengan kata laluan, dompet mata wang kripto dan data sistem sensitif.
Bidang kepentingan utama termasuk:
Akses Rantai Kunci : Utiliti storan kata laluan asli Apple.
Apl Nota : Sering disalahgunakan oleh pengguna untuk menyimpan butiran peribadi.
Penyemak Imbas Web : Sumber yang kaya dengan sejarah penyemakan imbas, kuki, entri autolengkap, bukti kelayakan yang disimpan dan butiran pembayaran.
Meluaskan Melangkaui Kecurian Data
Shamos tidak terhad kepada penuaian kelayakan. Ia telah diperhatikan memuat turun muatan tambahan, termasuk:
- Modul botnet untuk eksploitasi rangkaian berskala besar.
- Aplikasi dompet Ledger Live palsu, direka untuk menipu pengguna mata wang kripto.
Keupayaan sedemikian menjadikan Shamos sebagai pintu masuk kepada jangkitan yang lebih luas, termasuk perisian tebusan, trojan, pelombong kripto dan ancaman berimpak tinggi yang lain.
Penyasaran dan Pengecualian Geografi
Kempen yang mengedarkan Shamos menyasarkan pengguna di Amerika Syarikat, United Kingdom, Kanada, China, Colombia, Itali, Jepun dan Mexico. Satu pengecualian yang ketara ialah Rusia, yang sejajar dengan amalan biasa pengendali MaaS yang berpangkalan di Rusia mengelakkan sasaran tempatan.
ClickFix Penipuan dalam Tindakan
Asas kempen Shamos terletak pada malvertising dan keracunan SEO, yang mendorong mangsa ke laman web penipuan yang menyamar sebagai halaman sokongan Mac yang sah. Tapak web ini menggunakan penjenamaan tulen untuk membina kepercayaan sebelum mengarahkan pengguna untuk melaksanakan arahan yang berbahaya.
Selain itu, penjenayah siber telah menggunakan repositori GitHub yang memperdaya, menawarkan muat turun percuma untuk alatan Mac yang popular seperti iTerm2, perisian CAD, editor video, alatan AI dan program pengoptimuman.
Kaedah Pengedaran Lain yang Mungkin
Walaupun penipuan ClickFix kekal sebagai mekanisme penghantaran utama, Shamos juga boleh disebarkan melalui teknik pengedaran perisian hasad yang lebih tradisional, termasuk:
Pancingan data dan Kejuruteraan Sosial : Pautan atau lampiran berniat jahat melalui e-mel, mesej peribadi atau mesej langsung.
Muat Turun Drive-By dan Malvertising : Muatan tersembunyi pada tapak yang terjejas atau berniat jahat.
Saluran Pengedaran Meragukan : Perisian cetak rompak, retak, perisian percuma pihak ketiga dan rangkaian P2P.
Kemas Kini Palsu : Gesaan menipu menggesa pengguna memasang keselamatan palsu atau kemas kini sistem.
Percambahan Diri : Sesetengah varian perisian hasad tersebar secara autonomi melalui rangkaian tempatan atau pemacu luaran.
Garis Bawah
Kehadiran Shamos pada sistem boleh membawa kepada pencerobohan privasi yang teruk, kecurian identiti, kerugian kewangan dan pelbagai jangkitan melalui serangan berantai. Model MaaSnya memastikan ia kekal boleh diakses oleh pelakon ancaman yang berkemahiran rendah, menjadikannya bahaya berterusan kepada pengguna macOS di seluruh dunia.
