Шамос крадљивац
Шамос је недавно идентификовани macOS малвер посебно дизајниран да угрози macOS уређаје. Активан најмање од лета 2025. године, овај малвер се користи као услуга (MaaS) од стране групе познате као COOKIE SPIDER. Његов примарни вектор испоруке су преваре ClickFix, техника која је све популарнија међу сајбер криминалцима који циљају кориснике macOS-а. Шамос је идентификован као варијанта мобилне претње AMOS (Atomic) Stealer .
Преглед садржаја
Почетни пут инфекције
Шамос првенствено инфилтрира системе путем ClickFix превара, које варају кориснике да копирају и лепе злонамерне команде у терминал. Ова радња покреће преузимање Bash скрипте која заобилази Gatekeeper провере, краде податке за пријаву и на крају поставља Mach-O датотеку која садржи Шамос. Искоришћавањем поверења корисника у савете за решавање проблема, ова метода значајно повећава стопу инфекције.
Прикривеност и прикупљање података
Једном покренут, Шамос користи механизме анти-аналитике како би открио да ли ради у виртуелној машини или „песочњаку“. Ако утврди да је окружење аутентично, започиње опсежно прикупљање података. Злонамерни софтвер тражи датотеке повезане са лозинкама, новчаницима криптовалута и осетљивим системским подацима.
Кључне области интересовања укључују:
Приступ помоћу привеска за кључеве : Еплов услужни програм за чување лозинки.
Апликација Белешке : Корисници је често злоупотребљавају за чување приватних података.
Веб прегледачи : Богат извор историје прегледања, колачића, уноса за аутоматско попуњавање, сачуваних акредитива и детаља о плаћању.
Ширење ван оквира крађе података
Шамос није ограничен само на прикупљање података. Примећено је да преузима додатне корисне податке, укључујући:
- Ботнет модул за експлоатацију мреже великих размера.
- Лажна апликација за новчаник Ledger Live, дизајнирана да превари кориснике криптовалута.
Такве могућности чине Шамос капијом за шире инфекције, укључујући ransomware, тројанце, криптоминере и друге претње великог утицаја.
Географско циљање и изузећа
Кампање које дистрибуирају Шамос углавном су циљале кориснике у Сједињеним Државама, Уједињеном Краљевству, Канади, Кини, Колумбији, Италији, Јапану и Мексику. Један значајан изузетак је Русија, што је у складу са уобичајеном праксом руских MaaS оператера који избегавају локалне циљеве.
Преваре са ClickFix-ом у акцији
Камен темељац Шамос кампања лежи у злонамерном оглашавању и SEO тровању, што жртве усмерава на лажне веб странице прерушене у легитимне странице за подршку за Mac. Ове веб странице користе аутентично брендирање како би изградиле поверење пре него што наложе корисницима да извршавају штетне команде.
Поред тога, сајбер криминалци су користили обмањујуће GitHub репозиторијуме, нудећи бесплатна преузимања за популарне Mac алате као што су iTerm2, CAD софтвер, видео едитори, AI алати и програми за оптимизацију.
Други могући методи дистрибуције
Иако преваре типа ClickFix остају примарни механизам испоруке, Shamos се такође може ширити традиционалнијим техникама дистрибуције злонамерног софтвера, укључујући:
Фишинг и друштвени инжењеринг : Злонамерни линкови или прилози путем имејла, приватних порука или директних порука.
Преузимања без додатних информација и злонамерно оглашавање : Скривени садржаји на угроженим или злонамерним сајтовима.
Сумњиви дистрибутивни канали : пиратски софтвер, крекови, бесплатни софтвер трећих страна и P2P мреже.
Лажна ажурирања : Обмањујући захтеви који позивају кориснике да инсталирају лажна безбедносна или системска ажурирања.
Самопролиферација : Неке варијанте злонамерног софтвера се аутономно шире преко локалних мрежа или екстерних дискова.
Суштина
Присуство Шамоса на систему може довести до озбиљних упада у приватност, крађе идентитета, финансијских губитака и вишеструких инфекција путем ланчаних напада. Његов MaaS модел осигурава да ће остати доступан чак и нискоквалификованим актерима претњи, што га чини сталном опасношћу за кориснике macOS-а широм света.
