Shamos Stealer
Shamos is een recent geïdentificeerde macOS-malware die specifiek is ontworpen om macOS-apparaten te infecteren. Deze malware is actief sinds minstens de zomer van 2025 en wordt beheerd als Malware-as-a-Service (MaaS) door een groep die bekendstaat als COOKIE SPIDER. De malware wordt voornamelijk verspreid via ClickFix-scams, een techniek die steeds populairder wordt onder cybercriminelen die zich richten op macOS-gebruikers. Shamos is geïdentificeerd als een variant van de mobiele dreiging AMOS (Atomic) Stealer .
Inhoudsopgave
Initiële infectieroute
Shamos infiltreert systemen voornamelijk via ClickFix-scams, die gebruikers ertoe verleiden kwaadaardige opdrachten te kopiëren en te plakken in de terminal. Deze actie activeert de download van een Bash-script dat Gatekeeper-controles omzeilt, inloggegevens steelt en uiteindelijk een Mach-O-bestand met Shamos installeert. Door misbruik te maken van het vertrouwen van gebruikers in probleemoplossingsadvies, verhoogt deze methode de infectiepercentages aanzienlijk.
Stealth en dataverzameling
Eenmaal uitgevoerd, maakt Shamos gebruik van anti-analysemechanismen om te detecteren of het in een virtuele machine of sandbox draait. Als het de echte omgeving vaststelt, begint het met uitgebreide gegevensverzameling. De malware zoekt naar bestanden die gekoppeld zijn aan wachtwoorden, cryptocurrency wallets en gevoelige systeemgegevens.
Belangrijke interessegebieden zijn:
Keychain Access : Apple's eigen wachtwoordopslagprogramma.
Notities-app : wordt vaak misbruikt door gebruikers om persoonlijke gegevens op te slaan.
Webbrowsers : een rijke bron van browsegeschiedenis, cookies, automatisch ingevulde gegevens, opgeslagen inloggegevens en betalingsgegevens.
Verder kijken dan alleen gegevensdiefstal
Shamos beperkt zich niet tot het verzamelen van inloggegevens. Er zijn ook andere payloads geobserveerd, waaronder:
- Een botnetmodule voor grootschalige netwerkexploitatie.
- Een neppe Ledger Live-wallet-app, ontworpen om gebruikers van cryptovaluta te misleiden.
Dankzij deze mogelijkheden is Shamos een toegangspoort tot bredere infecties, waaronder ransomware, Trojaanse paarden, cryptominers en andere bedreigingen met grote gevolgen.
Geografische targeting en uitsluitingen
Campagnes die Shamos verspreiden, waren voornamelijk gericht op gebruikers in de Verenigde Staten, het Verenigd Koninkrijk, Canada, China, Colombia, Italië, Japan en Mexico. Een opvallende uitzondering is Rusland, wat overeenkomt met de gangbare praktijk van Russische MaaS-aanbieders die lokale doelgroepen vermijden.
ClickFix-zwendel in actie
De hoeksteen van Shamos-campagnes ligt in malvertising en SEO-vergiftiging, die slachtoffers naar frauduleuze websites lokken die vermomd zijn als legitieme Mac-ondersteuningspagina's. Deze websites gebruiken authentieke branding om vertrouwen te wekken voordat ze gebruikers instrueren om schadelijke opdrachten uit te voeren.
Cybercriminelen maken daarnaast gebruik van misleidende GitHub-repositories, waar ze gratis downloads aanbieden voor populaire Mac-hulpmiddelen zoals iTerm2, CAD-software, videobewerkingsprogramma's, AI-hulpmiddelen en optimalisatieprogramma's.
Andere mogelijke distributiemethoden
Hoewel ClickFix-zwendel het belangrijkste distributiemechanisme blijft, kan Shamos ook worden verspreid via meer traditionele malware-distributietechnieken, waaronder:
Phishing en social engineering : schadelijke links of bijlagen via e-mail, privéberichten of directe berichten.
Drive-By Downloads en Malvertising : verborgen payloads op gecompromitteerde of kwaadaardige sites.
Verdachte distributiekanalen : illegale software, cracks, freeware van derden en P2P-netwerken.
Nep-updates : misleidende meldingen die gebruikers aansporen om nep-beveiligings- of systeemupdates te installeren.
Zelfproliferatie : sommige malwarevarianten verspreiden zich autonoom via lokale netwerken of externe schijven.
De kern van de zaak
De aanwezigheid van Shamos op een systeem kan leiden tot ernstige inbreuken op de privacy, identiteitsdiefstal, financiële verliezen en meerdere infecties via aaneengesloten aanvallen. Het MaaS-model zorgt ervoor dat het zelfs voor laaggeschoolde cybercriminelen toegankelijk blijft, waardoor het een aanhoudend gevaar vormt voor macOS-gebruikers wereldwijd.
