Zlodej Shamos
Shamos je nedávno identifikovaný malvér pre macOS, ktorý je špeciálne navrhnutý na napadnutie zariadení so systémom macOS. Tento malvér, ktorý je aktívny minimálne od leta 2025, je prevádzkovaný ako ponuka Malvér ako služba (MaaS) skupinou známou ako COOKIE SPIDER. Jeho primárnym vektorom distribúcie sú podvody ClickFix, technika, ktorá je čoraz populárnejšia medzi kyberzločincami zameranými na používateľov macOS. Shamos bol identifikovaný ako variant mobilnej hrozby AMOS (Atomic) Stealer .
Obsah
Počiatočná cesta infekcie
Shamos infiltruje systémy predovšetkým prostredníctvom podvodov ClickFix, ktoré oklamú používateľov a prinútia ich kopírovať a vkladať škodlivé príkazy do terminálu. Táto akcia spustí stiahnutie skriptu Bash, ktorý obchádza kontroly Gatekeepera, ukradne prihlasovacie údaje a nakoniec nasadí súbor Mach-O obsahujúci Shamos. Zneužívaním dôvery používateľov v rady na riešenie problémov táto metóda výrazne zvyšuje mieru infekcie.
Stealth a zber údajov
Po spustení Shamos využíva mechanizmy antianalýzy na zistenie, či beží vo virtuálnom počítači alebo v sandboxe. Ak zistí, že prostredie je originálne, začne rozsiahly zber údajov. Malvér hľadá súbory viazané na heslá, kryptomenové peňaženky a citlivé systémové údaje.
Medzi kľúčové oblasti záujmu patria:
Prístup s kľúčenkou : Natívny nástroj od spoločnosti Apple na ukladanie hesiel.
Aplikácia Poznámky : Používatelia ju často zneužívajú na ukladanie súkromných údajov.
Webové prehliadače : Bohatý zdroj histórie prehliadania, súborov cookie, položiek automatického dopĺňania, uložených prihlasovacích údajov a platobných údajov.
Rozšírenie za hranice krádeže údajov
Shamos sa neobmedzuje len na získavanie poverení. Bolo pozorované, že sťahuje ďalšie užitočné dáta vrátane:
- Modul botnetu na rozsiahle zneužívanie siete.
- Falošná aplikácia peňaženky Ledger Live, navrhnutá tak, aby oklamala používateľov kryptomien.
Vďaka týmto schopnostiam je Shamos vstupnou bránou k širším infekciám vrátane ransomvéru, trójskych koní, ťažiarov kryptomien a iných vysokorizikových hrozieb.
Geografické zacielenie a vylúčenia
Kampane distribuujúce Shamos boli zamerané najmä na používateľov v Spojených štátoch, Spojenom kráľovstve, Kanade, Číne, Kolumbii, Taliansku, Japonsku a Mexiku. Jednou z významných výnimiek je Rusko, čo je v súlade s bežnou praxou ruských prevádzkovateľov MaaS, ktorí sa vyhýbajú lokálnym cieľom.
Podvody ClickFix v akcii
Základom kampaní Shamos je škodlivá reklama a SEO poisoning, ktoré obete presúvajú na podvodné webové stránky maskované ako legitímne stránky podpory pre Mac. Tieto webové stránky používajú autentický branding na budovanie dôvery predtým, ako dajú používateľom pokyn na vykonanie škodlivých príkazov.
Kyberzločinci navyše použili klamlivé repozitáre GitHub, ktoré ponúkajú bezplatné stiahnutie populárnych nástrojov pre Mac, ako je iTerm2, softvér CAD, editory videa, nástroje umelej inteligencie a optimalizačné programy.
Ďalšie možné metódy distribúcie
Zatiaľ čo podvody ClickFix zostávajú primárnym mechanizmom šírenia, Shamos sa môže šíriť aj tradičnejšími technikami distribúcie malvéru vrátane:
Phishing a sociálne inžinierstvo : Škodlivé odkazy alebo prílohy prostredníctvom e-mailov, súkromných správ alebo priamych správ.
Drive-By sťahovanie a škodlivá reklama : Skryté užitočné zaťaženie na napadnutých alebo škodlivých stránkach.
Podozrivé distribučné kanály : Pirátsky softvér, cracky, freeware tretích strán a P2P siete.
Falošné aktualizácie : Klamlivé výzvy nabádajúce používateľov k inštalácii falošných bezpečnostných alebo systémových aktualizácií.
Samošírenie : Niektoré varianty škodlivého softvéru sa šíria autonómne prostredníctvom lokálnych sietí alebo externých diskov.
Zrátané a podčiarknuté
Prítomnosť Shamosu v systéme môže viesť k vážnym narušeniam súkromia, krádeži identity, finančným stratám a viacnásobným infekciám prostredníctvom reťazených útokov. Jeho model MaaS zabezpečuje, že zostane dostupný aj pre menej kvalifikovaných aktérov útokov, čo z neho robí trvalé nebezpečenstvo pre používateľov macOS na celom svete.
