Złodziej Shamosu
Shamos to niedawno zidentyfikowane złośliwe oprogramowanie na system macOS, zaprojektowane specjalnie do atakowania urządzeń z systemem macOS. Aktywne co najmniej od lata 2025 roku, to złośliwe oprogramowanie jest oferowane w ramach usługi Malware-as-a-Service (MaaS) przez grupę znaną jako COOKIE SPIDER. Jego głównym wektorem rozprzestrzeniania są oszustwa ClickFix, technika zyskująca coraz większą popularność wśród cyberprzestępców atakujących użytkowników systemu macOS. Shamos został zidentyfikowany jako wariant mobilnego zagrożenia AMOS (Atomic) Stealer .
Spis treści
Początkowa droga zakażenia
Shamos infiltruje systemy głównie za pomocą oszustw ClickFix, które nakłaniają użytkowników do kopiowania i wklejania złośliwych poleceń do terminala. To działanie uruchamia pobieranie skryptu Bash, który omija sprawdzanie Gatekeepera, kradnie dane logowania i ostatecznie uruchamia plik Mach-O zawierający Shamos. Wykorzystując zaufanie użytkowników do porad dotyczących rozwiązywania problemów, ta metoda znacznie zwiększa ryzyko infekcji.
Ukrycie i zbieranie danych
Po uruchomieniu, Shamos wykorzystuje mechanizmy anty-analizy, aby wykryć, czy działa na maszynie wirtualnej, czy w piaskownicy. Jeśli uzna środowisko za autentyczne, rozpoczyna szeroko zakrojone gromadzenie danych. Szkodliwe oprogramowanie poszukuje plików powiązanych z hasłami, portfelami kryptowalut i poufnymi danymi systemowymi.
Główne obszary zainteresowań obejmują:
Dostęp do pęku kluczy : natywne narzędzie Apple do przechowywania haseł.
Aplikacja Notatki : Często używana przez użytkowników do przechowywania prywatnych danych.
Przeglądarki internetowe : bogate źródło historii przeglądania, plików cookie, wpisów autouzupełniania, zapisanych danych uwierzytelniających i szczegółów płatności.
Wykraczanie poza kradzież danych
Shamos nie ogranicza się do gromadzenia danych uwierzytelniających. Zaobserwowano, że pobiera dodatkowe ładunki, w tym:
- Moduł botnetu służący do eksploatacji sieci na dużą skalę.
- Fałszywa aplikacja portfela Ledger Live, mająca na celu oszukanie użytkowników kryptowalut.
Dzięki takim możliwościom Shamos staje się bramą do szerszego rozprzestrzeniania się infekcji, obejmujących oprogramowanie wymuszające okup, konie trojańskie, kryptokoparki i inne poważne zagrożenia.
Targetowanie geograficzne i wykluczenia
Kampanie dystrybuujące Shamos były skierowane głównie do użytkowników w Stanach Zjednoczonych, Wielkiej Brytanii, Kanadzie, Chinach, Kolumbii, Włoszech, Japonii i Meksyku. Jednym z ważniejszych wyjątków jest Rosja, co jest zgodne z powszechną praktyką rosyjskich operatorów MaaS, którzy unikają lokalnych celów.
Oszustwa ClickFix w akcji
Podstawą kampanii Shamos jest malvertising i zatruwanie SEO, które kierują ofiary na fałszywe strony internetowe podszywające się pod legalne strony pomocy technicznej dla komputerów Mac. Strony te wykorzystują autentyczną identyfikację marki, aby zbudować zaufanie, zanim poinstruują użytkowników, jak wykonywać szkodliwe polecenia.
Cyberprzestępcy wykorzystali ponadto oszukańcze repozytoria GitHub, oferując bezpłatne pobieranie popularnych narzędzi dla komputerów Mac, takich jak iTerm2, oprogramowanie CAD, edytory wideo, narzędzia AI i programy optymalizacyjne.
Inne możliwe metody dystrybucji
Choć oszustwa ClickFix pozostają głównym mechanizmem rozprzestrzeniania się złośliwego oprogramowania, Shamos może być również rozpowszechniany za pośrednictwem bardziej tradycyjnych technik dystrybucji, w tym:
Phishing i inżynieria społeczna : złośliwe linki lub załączniki rozsyłane pocztą elektroniczną, w wiadomościach prywatnych lub bezpośrednich.
Pobieranie plików bez zezwolenia i złośliwe reklamy : ukryte ładunki na zainfekowanych lub złośliwych stronach.
Podejrzane kanały dystrybucji : pirackie oprogramowanie, cracki, darmowe oprogramowanie stron trzecich i sieci P2P.
Fałszywe aktualizacje : Oszukańcze komunikaty nakłaniające użytkowników do zainstalowania fałszywych aktualizacji zabezpieczeń lub systemu.
Samorozprzestrzenianie : Niektóre odmiany złośliwego oprogramowania rozprzestrzeniają się autonomicznie za pośrednictwem sieci lokalnych lub dysków zewnętrznych.
Podsumowanie
Obecność Shamosa w systemie może prowadzić do poważnych naruszeń prywatności, kradzieży tożsamości, strat finansowych i licznych infekcji poprzez ataki łańcuchowe. Model MaaS gwarantuje, że pozostanie on dostępny nawet dla mało doświadczonych cyberprzestępców, co czyni go stałym zagrożeniem dla użytkowników systemu macOS na całym świecie.
