Shamos Stealer
Shamos er en nylig identifisert macOS-skadevare som er spesielt utviklet for å kompromittere macOS-enheter. Denne skadevaren har vært aktiv siden minst sommeren 2025, og drives som et Malware-as-a-Service (MaaS)-tilbud av en gruppe kjent som COOKIE SPIDER. Dens primære leveringsvektor har vært ClickFix-svindel, en teknikk som blir stadig mer populær blant nettkriminelle som retter seg mot macOS-brukere. Shamos har blitt identifisert som en variant av AMOS (Atomic) Stealer -mobiltrusselen.
Innholdsfortegnelse
Innledende infeksjonsvei
Shamos infiltrerer primært systemer gjennom ClickFix-svindel, som lurer brukere til å kopiere og lime inn ondsinnede kommandoer i terminalen. Denne handlingen utløser nedlastingen av et Bash-skript som omgår Gatekeeper-sjekker, stjeler påloggingsinformasjon og til slutt distribuerer en Mach-O-fil som inneholder Shamos. Ved å utnytte brukerens tillit til feilsøkingsråd øker denne metoden infeksjonsratene betydelig.
Skjult og datainnsamling
Når den er kjørt, bruker Shamos antianalysemekanismer for å oppdage om den kjører i en virtuell maskin eller sandkasse. Hvis den avgjør at miljøet er ekte, starter den omfattende datainnsamling. Skadevaren jakter på filer knyttet til passord, kryptovaluta-lommebøker og sensitive systemdata.
Viktige interesseområder inkluderer:
Nøkkelringtilgang : Apples innebygde verktøy for passordlagring.
Notater-app : Misbrukes ofte av brukere til å lagre private opplysninger.
Nettlesere : En rik kilde til nettleserlogger, informasjonskapsler, autofyll-oppføringer, lagret legitimasjon og betalingsdetaljer.
Utvider seg utover datatyveri
Shamos er ikke begrenset til innhøsting av legitimasjon. Det er observert at det laster ned ytterligere nyttelaster, inkludert:
- En botnettmodul for storskala nettverksutnyttelse.
- En falsk Ledger Live lommebokapp, designet for å lure kryptovalutabrukere.
Slike funksjoner gjør Shamos til en inngangsport til bredere infeksjoner, inkludert ransomware, trojanere, kryptominere og andre trusler med stor innvirkning.
Geografisk målretting og ekskluderinger
Kampanjer som distribuerer Shamos har hovedsakelig rettet seg mot brukere i USA, Storbritannia, Canada, Kina, Colombia, Italia, Japan og Mexico. Et bemerkelsesverdig unntak er Russland, som samsvarer med den vanlige praksisen for russiskbaserte MaaS-operatører å unngå lokale mål.
ClickFix-svindel i aksjon
Hjørnesteinen i Shamos-kampanjene ligger i skadelig annonsering og SEO-forgiftning, som driver ofre til falske nettsteder forkledd som legitime Mac-støttesider. Disse nettstedene bruker autentisk merkevarebygging for å bygge tillit før de instruerer brukerne til å utføre skadelige kommandoer.
I tillegg har nettkriminelle brukt villedende GitHub-lagre, og tilbyr gratis nedlastinger for populære Mac-verktøy som iTerm2, CAD-programvare, videoredigerere, AI-verktøy og optimaliseringsprogrammer.
Andre mulige distribusjonsmetoder
Selv om ClickFix-svindel fortsatt er den primære leveringsmekanismen, kan Shamos også spres gjennom mer tradisjonelle teknikker for distribusjon av skadelig programvare, inkludert:
Phishing og sosial manipulering : Ondsinnede lenker eller vedlegg via e-post, private meldinger eller direktemeldinger.
Drive-By-nedlastinger og skadelig annonsering : Skjulte nyttelaster på kompromitterte eller ondsinnede nettsteder.
Mistenkelige distribusjonskanaler : Piratkopiert programvare, hacks, tredjeparts gratis programvare og P2P-nettverk.
Falske oppdateringer : Villedende forespørsler som oppfordrer brukere til å installere falske sikkerhets- eller systemoppdateringer.
Selvspredning : Noen varianter av skadelig programvare sprer seg autonomt via lokale nettverk eller eksterne stasjoner.
Konklusjonen
Tilstedeværelsen av Shamos på et system kan føre til alvorlige personvernbrudd, identitetstyveri, økonomiske tap og flere infeksjoner gjennom kjedede angrep. MaaS-modellen sikrer at den forblir tilgjengelig selv for lavt kvalifiserte trusselaktører, noe som gjør den til en vedvarende fare for macOS-brukere over hele verden.
