Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware móvel Ladrão de Shamos

Ladrão de Shamos

Por Mezo em Malware móvel, Ladrões
Traduzir Para:

Shamos é um malware para macOS recentemente identificado, projetado especificamente para comprometer dispositivos macOS. Ativo desde pelo menos o verão de 2025, esse malware é operado como uma oferta de Malware como Serviço (MaaS) por um grupo conhecido como COOKIE SPIDER. Seu principal vetor de distribuição tem sido os golpes do ClickFix, uma técnica cada vez mais popular entre cibercriminosos que visam usuários de macOS. Shamos foi identificado como uma variante da ameaça móvel AMOS (Atomic Stealer) .

Via de infecção inicial

O Shamos se infiltra em sistemas principalmente por meio de golpes do tipo ClickFix, que induzem os usuários a copiar e colar comandos maliciosos no Terminal. Essa ação aciona o download de um script Bash que ignora as verificações do Gatekeeper, rouba credenciais de login e, por fim, implanta um arquivo Mach-O contendo o Shamos. Ao explorar a confiança do usuário nas orientações de solução de problemas, esse método aumenta significativamente as taxas de infecção.

Furtividade e coleta de dados

Uma vez executado, o Shamos emprega mecanismos antianálise para detectar se está sendo executado em uma máquina virtual ou sandbox. Se determinar que o ambiente é genuíno, inicia uma extensa coleta de dados. O malware busca arquivos vinculados a senhas, carteiras de criptomoedas e dados confidenciais do sistema.

As principais áreas de interesse incluem:

Acesso às Chaves : utilitário nativo de armazenamento de senhas da Apple.

Aplicativo Notas : frequentemente usado indevidamente pelos usuários para armazenar detalhes privados.

Navegadores da Web : uma rica fonte de históricos de navegação, cookies, entradas de preenchimento automático, credenciais armazenadas e detalhes de pagamento.

Expandindo além do roubo de dados

O Shamos não se limita à coleta de credenciais. Foi observado o download de cargas úteis adicionais, incluindo:

  • Um módulo botnet para exploração de rede em larga escala.
  • Um aplicativo falso de carteira Ledger Live, projetado para enganar usuários de criptomoedas.

Esses recursos fazem do Shamos uma porta de entrada para infecções mais amplas, incluindo ransomware, trojans, criptomineradores e outras ameaças de alto impacto.

Segmentação geográfica e exclusões

As campanhas que distribuem Shamos têm como alvo principalmente usuários nos Estados Unidos, Reino Unido, Canadá, China, Colômbia, Itália, Japão e México. Uma exceção notável é a Rússia, o que se alinha à prática comum de operadores de MaaS baseados na Rússia de evitar alvos locais.

Golpes do ClickFix em ação

A base das campanhas da Shamos reside na malvertising e no envenenamento de SEO, que direcionam as vítimas a sites fraudulentos disfarçados de páginas legítimas de suporte para Mac. Esses sites usam uma identidade visual autêntica para construir confiança antes de instruir os usuários a executar comandos maliciosos.

Além disso, os cibercriminosos têm usado repositórios enganosos do GitHub, oferecendo downloads gratuitos de ferramentas populares para Mac, como iTerm2, software CAD, editores de vídeo, ferramentas de IA e programas de otimização.

Outros métodos de distribuição possíveis

Embora os golpes do ClickFix continuem sendo o principal mecanismo de distribuição, o Shamos também pode ser disseminado por meio de técnicas de distribuição de malware mais tradicionais, incluindo:

Phishing e engenharia social : links ou anexos maliciosos por e-mail, mensagens privadas ou mensagens diretas.

Downloads drive-by e malvertising : cargas ocultas em sites comprometidos ou maliciosos.

Canais de distribuição suspeitos : software pirateado, cracks, freeware de terceiros e redes P2P.

Atualizações falsas : avisos enganosos que incentivam os usuários a instalar atualizações falsas de segurança ou do sistema.

Autoproliferação : algumas variantes de malware se espalham autonomamente por meio de redes locais ou unidades externas.

O resultado final

A presença do Shamos em um sistema pode levar a graves invasões de privacidade, roubo de identidade, perdas financeiras e múltiplas infecções por meio de ataques em cadeia. Seu modelo MaaS garante que ele permaneça acessível até mesmo a agentes de ameaças pouco qualificados, tornando-o um perigo persistente para usuários de macOS em todo o mundo.

Tendendo

Mais visto

Carregando...