Rabattoffert för flera licenser
Hotdatabas Mobil skadlig programvara Shamos Stealer

Shamos Stealer

Med Mezo år Mobil skadlig programvara, Stjälare
Översätt till:

Shamos är en nyligen identifierad macOS-skadlig kod som är specifikt utformad för att kompromettera macOS-enheter. Denna skadliga kod, som varit aktiv sedan åtminstone sommaren 2025, drivs som ett Malware-as-a-Service (MaaS)-erbjudande av en grupp som kallas COOKIE SPIDER. Dess primära leveransvektor har varit ClickFix-bedrägerier, en teknik som blir alltmer populär bland cyberbrottslingar som riktar sig mot macOS-användare. Shamos har identifierats som en variant av mobilhotet AMOS (Atomic) Stealer .

Initial infektionsväg

Shamos infiltrerar främst system genom ClickFix-bedrägerier, som lurar användare att kopiera och klistra in skadliga kommandon i terminalen. Denna åtgärd utlöser nedladdningen av ett Bash-skript som kringgår Gatekeeper-kontroller, stjäl inloggningsuppgifter och slutligen distribuerar en Mach-O-fil som innehåller Shamos. Genom att utnyttja användarnas förtroende för felsökningsråd ökar denna metod infektionsgraden avsevärt.

Stealth och datainsamling

När den körs använder Shamos antianalysmekanismer för att upptäcka om den körs i en virtuell maskin eller sandlåda. Om den fastställer att miljön är äkta påbörjar den omfattande datainsamling. Skadlig programvara letar efter filer kopplade till lösenord, kryptovalutaplånböcker och känslig systemdata.

Viktiga intresseområden inkluderar:

Nyckelringsåtkomst : Apples inbyggda lösenordslagringsverktyg.

Anteckningsapp : Missbrukas ofta av användare för att lagra privata uppgifter.

Webbläsare : En rik källa till webbhistorik, cookies, autofyllda poster, lagrade inloggningsuppgifter och betalningsuppgifter.

Expanderar bortom datastöld

Shamos är inte begränsat till insamling av autentiseringsuppgifter. Det har observerats att det laddar ner ytterligare nyttolaster, inklusive:

  • En botnätsmodul för storskalig nätverksexploatering.
  • En falsk Ledger Live-plånboksapp, utformad för att lura kryptovalutaanvändare.

Sådana funktioner gör Shamos till en inkörsport till bredare infektioner, inklusive ransomware, trojaner, kryptominers och andra hot med stor inverkan.

Geografisk inriktning och uteslutningar

Kampanjer som distribuerar Shamos har huvudsakligen riktat sig mot användare i USA, Storbritannien, Kanada, Kina, Colombia, Italien, Japan och Mexiko. Ett anmärkningsvärt undantag är Ryssland, vilket överensstämmer med den vanliga praxisen att Rysslandsbaserade MaaS-operatörer undviker lokala måltavlor.

ClickFix-bedrägerier i praktiken

Hörnstenen i Shamos-kampanjer ligger i skadlig annonsering och SEO-förgiftning, vilket leder offer till bedrägliga webbplatser förklädda till legitima Mac-supportsidor. Dessa webbplatser använder autentisk varumärkesbyggande för att bygga förtroende innan de instruerar användarna att utföra skadliga kommandon.

Dessutom har cyberbrottslingar använt vilseledande GitHub-arkiv och erbjudit gratis nedladdningar för populära Mac-verktyg som iTerm2, CAD-programvara, videoredigerare, AI-verktyg och optimeringsprogram.

Andra möjliga distributionsmetoder

Medan ClickFix-bedrägerier fortfarande är den primära leveransmekanismen, kan Shamos också spridas genom mer traditionella distributionstekniker för skadlig kod, inklusive:

Nätfiske och social manipulation : Skadliga länkar eller bilagor via e-post, privata meddelanden eller direktmeddelanden.

Drive-By-nedladdningar och skadlig reklam : Dolda nyttolaster på komprometterade eller skadliga webbplatser.

Misstänkta distributionskanaler : Piratkopierad programvara, cracks, gratisprogram från tredje part och P2P-nätverk.

Falska uppdateringar : Vilseledande uppmaningar som uppmanar användare att installera falska säkerhets- eller systemuppdateringar.

Självspridning : Vissa varianter av skadlig kod sprids autonomt via lokala nätverk eller externa hårddiskar.

Slutsatsen

Närvaron av Shamos på ett system kan leda till allvarliga integritetsintrång, identitetsstöld, ekonomiska förluster och flera infektioner genom kedjeattacker. Dess MaaS-modell säkerställer att den förblir tillgänglig även för lågkvalificerade hotaktörer, vilket gör den till en ihållande fara för macOS-användare över hela världen.

Trendigt

Mest sedda

Läser in...