Shamosov tat
Shamos je nedavno odkrita zlonamerna programska oprema za macOS, posebej zasnovana za ogrožanje naprav macOS. Ta zlonamerna programska oprema, ki je aktivna vsaj od poletja 2025, deluje kot storitev (MaaS) skupine, znane kot COOKIE SPIDER. Njen glavni vektor dostave so bile prevare ClickFix, tehnika, ki je vse bolj priljubljena med kibernetskimi kriminalci, ki ciljajo na uporabnike macOS. Shamos je bil identificiran kot različica mobilne grožnje AMOS (Atomic) Stealer .
Kazalo
Začetna pot okužbe
Shamos v sisteme vdira predvsem prek prevar ClickFix, ki uporabnike zavedejo, da kopirajo in prilepijo zlonamerne ukaze v terminal. To dejanje sproži prenos skripte Bash, ki zaobide preverjanja Gatekeeperja, ukrade prijavne podatke in na koncu namesti datoteko Mach-O, ki vsebuje Shamos. Z izkoriščanjem zaupanja uporabnikov v nasvete za odpravljanje težav ta metoda znatno poveča stopnjo okužb.
Prikritost in zbiranje podatkov
Ko se Shamos zažene, uporablja mehanizme za analizo, da zazna, ali se izvaja v virtualnem stroju ali peskovniku. Če ugotovi, da je okolje pristno, začne obsežno zbiranje podatkov. Zlonamerna programska oprema išče datoteke, povezane z gesli, denarnicami s kriptovalutami in občutljivimi sistemskimi podatki.
Ključna področja zanimanja vključujejo:
Dostop s ključavnico : Applov izvorni pripomoček za shranjevanje gesel.
Aplikacija Notes : Uporabniki jo pogosto zlorabljajo za shranjevanje zasebnih podatkov.
Spletni brskalniki : Bogat vir zgodovine brskanja, piškotkov, vnosov za samodejno izpolnjevanje, shranjenih poverilnic in podatkov o plačilu.
Širjenje onkraj kraje podatkov
Shamos ni omejen le na pridobivanje poverilnic. Opaženo je bilo prenašanje dodatnih koristnih podatkov, vključno z:
- Modul botneta za obsežno izkoriščanje omrežja.
- Lažna aplikacija za denarnico Ledger Live, zasnovana za zavajanje uporabnikov kriptovalut.
Zaradi takšnih zmogljivosti je Shamos vrata do širših okužb, vključno z izsiljevalsko programsko opremo, trojanci, rudarji kriptovalut in drugimi grožnjami z velikim vplivom.
Geografsko ciljanje in izključitve
Kampanje, ki distribuirajo Shamos, so bile usmerjene predvsem na uporabnike v Združenih državah Amerike, Združenem kraljestvu, Kanadi, na Kitajskem, v Kolumbiji, Italiji, na Japonskem in v Mehiki. Ena opazna izjema je Rusija, kar je v skladu z običajno prakso ruskih operaterjev MaaS, ki se izogibajo lokalnim ciljem.
Prevare ClickFix v akciji
Temelj kampanj Shamos je zlonamerno oglaševanje in zastrupljanje z iskalniki, ki žrtve usmerjajo na goljufiva spletna mesta, prikrita kot legitimne strani za podporo Mac. Ta spletna mesta uporabljajo pristno blagovno znamko za vzpostavitev zaupanja, preden uporabnikom naročijo izvajanje škodljivih ukazov.
Poleg tega so kibernetski kriminalci uporabljali zavajajoče repozitorije GitHub, ki ponujajo brezplačne prenose priljubljenih orodij za Mac, kot so iTerm2, programska oprema CAD, urejevalniki videoposnetkov, orodja za umetno inteligenco in programi za optimizacijo.
Druge možne metode distribucije
Čeprav prevare ClickFix ostajajo glavni mehanizem za širjenje, se Shamos lahko širi tudi prek bolj tradicionalnih tehnik distribucije zlonamerne programske opreme, vključno z:
Lažno predstavljanje in socialni inženiring : Zlonamerne povezave ali priloge prek e-pošte, zasebnih sporočil ali neposrednih sporočil.
Prenosi s strani uporabnika in zlonamerno oglaševanje : Skriti koristni tovor na ogroženih ali zlonamernih spletnih mestih.
Sumljivi distribucijski kanali : piratska programska oprema, razpoke, brezplačna programska oprema tretjih oseb in omrežja P2P.
Lažne posodobitve : Zavajajoči pozivi, ki uporabnike spodbujajo k namestitvi lažnih varnostnih ali sistemskih posodobitev.
Samoširjenje : Nekatere različice zlonamerne programske opreme se avtonomno širijo prek lokalnih omrežij ali zunanjih pogonov.
Bistvo
Prisotnost Shamosa v sistemu lahko povzroči resne vdore v zasebnost, krajo identitete, finančne izgube in večkratne okužbe prek verižnih napadov. Njegov model MaaS zagotavlja, da bo ostal dostopen tudi nizko usposobljenim akterjem grožnje, zaradi česar predstavlja stalno nevarnost za uporabnike macOS po vsem svetu.
