Shamos สตีลเลอร์
Shamos เป็นมัลแวร์ macOS ที่เพิ่งค้นพบและออกแบบมาเพื่อโจมตีอุปกรณ์ macOS โดยเฉพาะ มัลแวร์นี้เริ่มระบาดมาตั้งแต่ฤดูร้อนปี 2025 เป็นอย่างน้อย มัลแวร์นี้ทำงานในรูปแบบ Malware-as-a-Service (MaaS) โดยกลุ่มที่รู้จักกันในชื่อ COOKIE SPIDER ช่องทางหลักในการหลอกเหยื่อคือการหลอกลวง ClickFix ซึ่งเป็นเทคนิคที่ได้รับความนิยมเพิ่มขึ้นเรื่อยๆ ในหมู่อาชญากรไซเบอร์ที่มุ่งเป้าไปที่ผู้ใช้ macOS Shamos ถูกระบุว่าเป็นภัยคุกคามบนอุปกรณ์เคลื่อนที่ประเภท AMOS (Atomic) Stealer
สารบัญ
เส้นทางการติดเชื้อเริ่มต้น
Shamos แทรกซึมระบบส่วนใหญ่ผ่านการหลอกลวง ClickFix ซึ่งหลอกผู้ใช้ให้คัดลอกและวางคำสั่งอันตรายลงในเทอร์มินัล การกระทำนี้จะกระตุ้นให้มีการดาวน์โหลดสคริปต์ Bash ซึ่งจะข้ามการตรวจสอบ Gatekeeper ขโมยข้อมูลรับรองการเข้าสู่ระบบ และสุดท้ายก็ปล่อยไฟล์ Mach-O ที่มี Shamos อยู่ วิธีนี้ใช้ประโยชน์จากความไว้วางใจของผู้ใช้ในการให้คำแนะนำในการแก้ไขปัญหา ซึ่งช่วยเพิ่มอัตราการติดไวรัสได้อย่างมาก
การซ่อนตัวและการรวบรวมข้อมูล
เมื่อดำเนินการแล้ว Shamos จะใช้กลไกป้องกันการวิเคราะห์เพื่อตรวจสอบว่ากำลังทำงานอยู่ในเครื่องเสมือนหรือแซนด์บ็อกซ์ หากตรวจพบว่าสภาพแวดล้อมนั้นเป็นของจริง ก็จะเริ่มรวบรวมข้อมูลอย่างละเอียด มัลแวร์จะค้นหาไฟล์ที่เชื่อมโยงกับรหัสผ่าน กระเป๋าเงินคริปโทเคอร์เรนซี และข้อมูลระบบที่ละเอียดอ่อน
ประเด็นที่น่าสนใจหลักๆ ได้แก่:
การเข้าถึงพวงกุญแจ : ยูทิลิตี้จัดเก็บรหัสผ่านดั้งเดิมของ Apple
แอป Notes : มักถูกผู้ใช้นำไปใช้อย่างผิดวิธีในการจัดเก็บข้อมูลส่วนตัว
เว็บเบราว์เซอร์ : แหล่งข้อมูลประวัติการท่องเว็บ คุกกี้ รายการกรอกอัตโนมัติ ข้อมูลรับรองที่จัดเก็บไว้ และรายละเอียดการชำระเงิน
ขยายขอบเขตเกินขอบเขตการขโมยข้อมูล
Shamos ไม่ได้จำกัดอยู่แค่การเก็บเกี่ยวข้อมูลประจำตัวเท่านั้น พบว่ามีการดาวน์โหลดเพย์โหลดเพิ่มเติม ซึ่งรวมถึง:
- โมดูลบอตเน็ตสำหรับการใช้ประโยชน์เครือข่ายขนาดใหญ่
- แอปกระเป๋าเงินปลอม Ledger Live ออกแบบมาเพื่อหลอกลวงผู้ใช้สกุลเงินดิจิทัล
ความสามารถดังกล่าวทำให้ Shamos เป็นช่องทางสู่การติดเชื้อในวงกว้างมากขึ้น รวมถึงแรนซัมแวร์ โทรจัน โปรแกรมขุดคริปโต และภัยคุกคามอื่นๆ ที่มีผลกระทบสูง
การกำหนดเป้าหมายทางภูมิศาสตร์และการยกเว้น
แคมเปญที่เผยแพร่ Shamos ส่วนใหญ่มุ่งเป้าไปที่ผู้ใช้ในสหรัฐอเมริกา สหราชอาณาจักร แคนาดา จีน โคลอมเบีย อิตาลี ญี่ปุ่น และเม็กซิโก ข้อยกเว้นที่สำคัญอย่างหนึ่งคือรัสเซีย ซึ่งสอดคล้องกับแนวปฏิบัติทั่วไปของผู้ให้บริการ MaaS ในรัสเซียที่หลีกเลี่ยงเป้าหมายในประเทศ
การหลอกลวง ClickFix ในการดำเนินการ
หัวใจสำคัญของแคมเปญ Shamos อยู่ที่การโฆษณาผ่านมัลแวร์และการวางยาพิษ SEO ซึ่งนำเหยื่อไปยังเว็บไซต์หลอกลวงที่ปลอมแปลงเป็นหน้าสนับสนุน Mac ที่ถูกต้องตามกฎหมาย เว็บไซต์เหล่านี้ใช้การสร้างแบรนด์ที่น่าเชื่อถือเพื่อสร้างความไว้วางใจก่อนที่จะสั่งให้ผู้ใช้ดำเนินการตามคำสั่งที่เป็นอันตราย
นอกจากนี้ ผู้ก่ออาชญากรรมทางไซเบอร์ยังใช้ที่เก็บข้อมูล GitHub หลอกลวง โดยเสนอให้ดาวน์โหลดเครื่องมือ Mac ยอดนิยม เช่น iTerm2 ซอฟต์แวร์ CAD โปรแกรมตัดต่อวิดีโอ เครื่องมือ AI และโปรแกรมเพิ่มประสิทธิภาพฟรี
วิธีการจัดจำหน่ายอื่นๆ ที่เป็นไปได้
ในขณะที่ การหลอกลวงของ ClickFix ยังคงเป็นกลไกในการส่งมอบหลัก Shamos ยังสามารถแพร่กระจายได้ผ่านเทคนิคการกระจายมัลแวร์แบบดั้งเดิมมากขึ้น รวมถึง:
ฟิชชิ่งและวิศวกรรมสังคม : ลิงก์หรือไฟล์แนบที่เป็นอันตรายผ่านทางอีเมล ข้อความส่วนตัว หรือข้อความโดยตรง
การดาวน์โหลดแบบไดรฟ์บายและการโฆษณาแบบมัลแวร์ : เพย์โหลดที่ซ่อนอยู่บนเว็บไซต์ที่ถูกบุกรุกหรือเป็นอันตราย
ช่องทางการจำหน่ายที่น่าสงสัย : ซอฟต์แวร์ละเมิดลิขสิทธิ์ แคร็ก ฟรีแวร์ของบริษัทอื่น และเครือข่าย P2P
การอัปเดตปลอม : คำเตือนหลอกลวงที่กระตุ้นให้ผู้ใช้ติดตั้งการอัปเดตความปลอดภัยหรือระบบปลอม
การแพร่กระจายของตัวเอง : มัลแวร์บางประเภทแพร่กระจายโดยอัตโนมัติผ่านเครือข่ายท้องถิ่นหรือไดรฟ์ภายนอก
ข้อสรุป
การปรากฏตัวของ Shamos ในระบบอาจนำไปสู่การละเมิดความเป็นส่วนตัวอย่างรุนแรง การโจรกรรมข้อมูลประจำตัว การสูญเสียทางการเงิน และการติดไวรัสซ้ำซ้อนผ่านการโจมตีแบบต่อเนื่อง โมเดล MaaS ของ Shamos ช่วยให้มั่นใจได้ว่า Shamos ยังคงสามารถเข้าถึงได้แม้กระทั่งผู้ก่อภัยคุกคามที่มีทักษะต่ำ ซึ่งทำให้ Shamos กลายเป็นภัยคุกคามต่อเนื่องสำหรับผู้ใช้ macOS ทั่วโลก
