Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Malware mobil Hoțul lui Shamos

Hoțul lui Shamos

Până în Mezo în Malware mobil, Furători
Tradu in:

Shamos este un malware macOS identificat recent, conceput special pentru a compromite dispozitivele macOS. Activ cel puțin din vara anului 2025, acest malware este operat ca o ofertă Malware-as-a-Service (MaaS) de către un grup cunoscut sub numele de COOKIE SPIDER. Principalul său vector de răspândire au fost escrocheriile ClickFix, o tehnică din ce în ce mai populară în rândul infractorilor cibernetici care vizează utilizatorii macOS. Shamos a fost identificat ca fiind o variantă a amenințării mobile AMOS (Atomic) Stealer .

Calea inițială de infecție

Shamos se infiltrează în principal în sisteme prin intermediul escrocheriilor ClickFix, care păcălesc utilizatorii să copieze și să lipească comenzi rău intenționate în Terminal. Această acțiune declanșează descărcarea unui script Bash care ocolește verificările Gatekeeper, fură datele de autentificare și, în cele din urmă, implementează un fișier Mach-O care conține Shamos. Prin exploatarea încrederii utilizatorilor în sfaturile de depanare, această metodă crește semnificativ ratele de infectare.

Stealth și recoltarea datelor

Odată executat, Shamos folosește mecanisme anti-analiză pentru a detecta dacă rulează într-o mașină virtuală sau într-un sandbox. Dacă stabilește că mediul este autentic, începe colectarea extinsă de date. Malware-ul caută fișiere legate de parole, portofele de criptomonede și date sensibile de sistem.

Domeniile cheie de interes includ:

Acces prin breloc : Utilitarul nativ de stocare a parolelor de la Apple.

Aplicația Notes : Adesea utilizată în mod abuziv de utilizatori pentru stocarea detaliilor private.

Browsere web : O sursă bogată de istoricuri de navigare, cookie-uri, intrări de completare automată, acreditări stocate și detalii de plată.

Extinderea dincolo de furtul de date

Shamos nu se limitează la colectarea de acreditări. S-a observat descărcarea unor sarcini utile suplimentare, inclusiv:

  • Un modul botnet pentru exploatarea rețelelor la scară largă.
  • O aplicație falsă de portofel Ledger Live, concepută pentru a păcăli utilizatorii de criptomonede.

Astfel de capacități fac din Shamos o poartă de acces către infecții mai ample, inclusiv ransomware, troieni, criptomineri și alte amenințări cu impact ridicat.

Direcționare geografică și excluderi

Campaniile care distribuie Shamos au vizat în principal utilizatori din Statele Unite, Regatul Unit, Canada, China, Columbia, Italia, Japonia și Mexic. O excepție notabilă este Rusia, care se aliniază cu practica obișnuită a operatorilor MaaS cu sediul în Rusia de a evita țintele locale.

Escrocheriile ClickFix în acțiune

Piatra de temelie a campaniilor Shamos constă în publicitatea malicioasă și otrăvirea SEO, care direcționează victimele către site-uri web frauduloase deghizate în pagini legitime de asistență pentru Mac. Aceste site-uri web folosesc branding autentic pentru a construi încredere înainte de a instrui utilizatorii să execute comenzi dăunătoare.

În plus, infractorii cibernetici au folosit repozitorii GitHub înșelătoare, oferind descărcări gratuite pentru instrumente populare pentru Mac, cum ar fi iTerm2, software CAD, editoare video, instrumente de inteligență artificială și programe de optimizare.

Alte metode de distribuție posibile

Deși escrocheriile ClickFix rămân principalul mecanism de răspândire, Shamos ar putea fi răspândit și prin tehnici tradiționale de distribuție a programelor malware, inclusiv:

Phishing și inginerie socială : Linkuri sau atașamente rău intenționate prin e-mail, mesaje private sau mesaje directe.

Descărcări automate și publicitate malicioasă : Sarcini utile ascunse pe site-uri compromise sau rău intenționate.

Canale de distribuție suspecte : software piratat, crack-uri, freeware terță parte și rețele P2P.

Actualizări false : Solicitări înșelătoare care îndeamnă utilizatorii să instaleze actualizări de securitate sau de sistem false.

Autoproliferare : Unele variante de malware se răspândesc autonom prin rețele locale sau unități externe.

Concluzia

Prezența Shamos pe un sistem poate duce la încălcări grave ale confidențialității, furt de identitate, pierderi financiare și infecții multiple prin atacuri în lanț. Modelul său MaaS asigură că va rămâne accesibil chiar și actorilor de amenințare slab calificați, ceea ce îl face un pericol persistent pentru utilizatorii macOS din întreaga lume.

Trending

Cele mai văzute

Se încarcă...