Shamos Stealer
Ang Shamos ay isang kamakailang natukoy na macOS malware na partikular na idinisenyo upang ikompromiso ang mga macOS device. Aktibo mula pa noong tag-init ng 2025, pinapatakbo ang malware na ito bilang isang Malware-as-a-Service (MaaS) na alok ng isang grupong kilala bilang COOKIE SPIDER. Ang pangunahing vector ng paghahatid nito ay ang ClickFix scam, isang diskarteng lalong popular sa mga cybercriminal na nagta-target sa mga gumagamit ng macOS. Natukoy na ang Shamos ay isang variant ng AMOS (Atomic) Stealer mobile threat.
Talaan ng mga Nilalaman
Paunang Daan ng Impeksyon
Pangunahing pinapasok ng Shamos ang mga system sa pamamagitan ng ClickFix scam, na nanlinlang sa mga user na kopyahin at i-paste ang mga malisyosong command sa Terminal. Ang pagkilos na ito ay nagti-trigger ng pag-download ng isang Bash script na lumalampas sa mga tseke ng Gatekeeper, nagnanakaw ng mga kredensyal sa pag-log in, at sa huli ay nagde-deploy ng Mach-O file na may dalang Shamos. Sa pamamagitan ng pagsasamantala sa tiwala ng user sa payo sa pag-troubleshoot, ang paraang ito ay makabuluhang nagpapataas ng mga rate ng impeksyon.
Stealth at Data Harvesting
Sa sandaling naisakatuparan, gumagamit si Shamos ng mga mekanismong anti-analysis upang makita kung ito ay tumatakbo sa isang virtual machine o sandbox. Kung matukoy nito na ang kapaligiran ay tunay, magsisimula ito ng malawak na pangongolekta ng data. Ang malware ay naghahanap ng mga file na nakatali sa mga password, cryptocurrency wallet, at sensitibong data ng system.
Kabilang sa mga pangunahing lugar ng interes ang:
Keychain Access : Ang native na utility ng storage ng password ng Apple.
Notes App : Madalas na maling ginagamit ng mga user para sa pag-iimbak ng mga pribadong detalye.
Mga Web Browser : Isang mayamang mapagkukunan ng mga kasaysayan ng pagba-browse, cookies, mga entry sa autofill, mga naka-imbak na kredensyal, at mga detalye ng pagbabayad.
Pagpapalawak Higit pa sa Pagnanakaw ng Data
Ang Shamos ay hindi limitado sa pag-aani ng kredensyal. Naobserbahan ang pag-download ng mga karagdagang payload, kabilang ang:
- Isang botnet module para sa malakihang pagsasamantala sa network.
- Isang pekeng Ledger Live wallet app, na idinisenyo upang linlangin ang mga gumagamit ng cryptocurrency.
Ang mga ganitong kakayahan ay ginagawang gateway ang Shamos sa mas malawak na mga impeksyon, kabilang ang ransomware, trojans, cryptominers, at iba pang banta na may mataas na epekto.
Geographic na Pag-target at Mga Pagbubukod
Ang mga campaign na namamahagi ng Shamos ay pangunahing nagta-target ng mga user sa United States, United Kingdom, Canada, China, Colombia, Italy, Japan, at Mexico. Ang isang kapansin-pansing pagbubukod ay ang Russia, na umaayon sa karaniwang kasanayan ng mga operator ng MaaS na nakabase sa Russia na umiiwas sa mga lokal na target.
ClickFix Scams in Action
Ang pundasyon ng mga kampanyang Shamos ay nakasalalay sa malvertising at pagkalason sa SEO, na nagtutulak sa mga biktima sa mga mapanlinlang na website na itinago bilang mga lehitimong pahina ng suporta sa Mac. Gumagamit ang mga website na ito ng tunay na pagba-brand upang bumuo ng tiwala bago atasan ang mga user na magsagawa ng mga nakakapinsalang utos.
Bukod pa rito, gumamit ang mga cybercriminal ng mapanlinlang na mga repositoryo ng GitHub, na nag-aalok ng mga libreng pag-download para sa mga sikat na tool sa Mac gaya ng iTerm2, CAD software, mga editor ng video, mga tool sa AI, at mga programa sa pag-optimize.
Iba pang Posibleng Paraan ng Pamamahagi
Habang ang mga scam sa ClickFix ay nananatiling pangunahing mekanismo ng paghahatid, ang Shamos ay maaari ding ikalat sa pamamagitan ng mas tradisyonal na mga diskarte sa pamamahagi ng malware, kabilang ang:
Phishing at Social Engineering : Mga nakakahamak na link o attachment sa pamamagitan ng email, pribadong mensahe, o direktang mensahe.
Drive-By Downloads at Malvertising : Mga nakatagong payload sa mga nakompromiso o nakakahamak na site.
Mga Kahina-hinalang Channel sa Pamamahagi : Pirated na software, mga basag, third-party na freeware, at mga P2P network.
Mga Pekeng Update : Mga mapanlinlang na prompt na humihimok sa mga user na mag-install ng pekeng seguridad o mga update sa system.
Self-Proliferation : Ang ilang variant ng malware ay kusang kumakalat sa pamamagitan ng mga lokal na network o external na drive.
Ang Bottom Line
Ang pagkakaroon ng Shamos sa isang system ay maaaring humantong sa malubhang panghihimasok sa privacy, pagnanakaw ng pagkakakilanlan, pagkalugi sa pananalapi, at maraming impeksyon sa pamamagitan ng mga nakakadena na pag-atake. Tinitiyak ng modelong MaaS nito na mananatiling naa-access ito kahit na ang mga aktor na may mababang kasanayan sa pagbabanta, na ginagawa itong patuloy na panganib sa mga gumagamit ng macOS sa buong mundo.
