Shamos Stealer
Shamos — это недавно обнаруженное вредоносное ПО для macOS, специально разработанное для взлома устройств с этой ОС. Это вредоносное ПО, активное как минимум с лета 2025 года, распространяется в формате Malware-as-a-Service (MaaS) группой, известной как COOKIE SPIDER. Основным каналом распространения вредоносного ПО являются мошеннические схемы ClickFix, которые становятся всё более популярными среди киберпреступников, атакующих пользователей macOS. Shamos был идентифицирован как вариант мобильной угрозы AMOS (Atomic) Stealer .
Оглавление
Первичный путь заражения
Shamos проникает в системы преимущественно через мошеннические программы ClickFix, которые обманным путём заставляют пользователей копировать и вставлять вредоносные команды в Терминал. Это действие запускает загрузку Bash-скрипта, который обходит проверки Gatekeeper, похищает учётные данные и, в конечном итоге, устанавливает файл Mach-O, содержащий Shamos. Злоупотребляя доверием пользователей к советам по устранению неполадок, этот метод значительно увеличивает вероятность заражения.
Скрытность и сбор данных
После запуска Shamos использует механизмы антианализа, чтобы определить, запущен ли он в виртуальной машине или в изолированной среде. Если вредоносная программа определяет подлинность среды, она начинает обширный сбор данных. Вредоносная программа ищет файлы, связанные с паролями, криптовалютными кошельками и конфиденциальными системными данными.
Основные области интереса включают в себя:
Keychain Access : собственная утилита Apple для хранения паролей.
Приложение «Заметки» : пользователи часто используют его для хранения личных данных.
Веб-браузеры : богатый источник историй просмотра, файлов cookie, данных автозаполнения, сохраненных учетных данных и платежных реквизитов.
Выход за рамки кражи данных
Shamos не ограничивается сбором учётных данных. Было замечено, что он загружает дополнительные полезные данные, включая:
- Модуль ботнета для крупномасштабной эксплуатации сети.
- Поддельное приложение кошелька Ledger Live, созданное для обмана пользователей криптовалюты.
Такие возможности делают Shamos воротами для более масштабных заражений, включая программы-вымогатели, трояны, криптомайнеры и другие серьезные угрозы.
Географический таргетинг и исключения
Кампании по распространению Shamos были направлены в основном на пользователей в США, Великобритании, Канаде, Китае, Колумбии, Италии, Японии и Мексике. Примечательным исключением является Россия, что соответствует общей практике российских операторов MaaS, избегающих локальных целей.
Мошенничество ClickFix в действии
Основой кампаний Shamos является вредоносная реклама и SEO-заражение, которые перенаправляют жертв на мошеннические сайты, замаскированные под настоящие страницы поддержки Mac. Эти сайты используют аутентичный брендинг для создания доверия, прежде чем предлагать пользователям выполнять вредоносные команды.
Кроме того, киберпреступники использовали обманные репозитории GitHub, предлагая бесплатную загрузку популярных инструментов для Mac, таких как iTerm2, программное обеспечение САПР, видеоредакторы, инструменты искусственного интеллекта и программы оптимизации.
Другие возможные методы распространения
Хотя основным механизмом распространения остается мошенничество с ClickFix , Shamos также может распространяться с помощью более традиционных методов распространения вредоносных программ, включая:
Фишинг и социальная инженерия : вредоносные ссылки или вложения по электронной почте, личным сообщениям или прямым сообщениям.
Потайные загрузки и вредоносная реклама : скрытые полезные данные на взломанных или вредоносных сайтах.
Подозрительные каналы распространения : пиратское программное обеспечение, кряки, бесплатное программное обеспечение сторонних поставщиков и сети P2P.
Поддельные обновления : обманчивые подсказки, призывающие пользователей устанавливать поддельные обновления безопасности или системы.
Самораспространение : некоторые варианты вредоносного ПО распространяются автономно через локальные сети или внешние диски.
Итог
Присутствие Shamos в системе может привести к серьёзным нарушениям конфиденциальности, краже личных данных, финансовым потерям и множественным заражениям посредством цепочек атак. Его модель MaaS гарантирует доступность даже для неквалифицированных злоумышленников, что делает его постоянной угрозой для пользователей macOS по всему миру.
