Shamos Hırsızı
Shamos, yakın zamanda tespit edilen ve macOS cihazlarını tehlikeye atmak için özel olarak tasarlanmış bir macOS kötü amaçlı yazılımıdır. En az 2025 yazından beri aktif olan bu kötü amaçlı yazılım, COOKIE SPIDER olarak bilinen bir grup tarafından bir Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) teklifi olarak işletilmektedir. Birincil dağıtım vektörü, macOS kullanıcılarını hedef alan siber suçlular arasında giderek daha popüler hale gelen bir teknik olan ClickFix dolandırıcılıklarıdır. Shamos'un , AMOS (Atomic) Stealer mobil tehdidinin bir çeşidi olduğu tespit edilmiştir.
İçindekiler
İlk Enfeksiyon Yolu
Shamos, sistemlere öncelikle kullanıcıları kötü amaçlı komutları Terminal'e kopyalayıp yapıştırmaya kandıran ClickFix dolandırıcılıkları aracılığıyla sızar. Bu eylem, Gatekeeper kontrollerini aşan, oturum açma kimlik bilgilerini çalan ve nihayetinde Shamos'u taşıyan bir Mach-O dosyası dağıtan bir Bash betiğinin indirilmesini tetikler. Bu yöntem, sorun giderme tavsiyelerine duyulan kullanıcı güvenini istismar ederek enfeksiyon oranlarını önemli ölçüde artırır.
Gizlilik ve Veri Hasadı
Shamos, çalıştırıldıktan sonra sanal bir makinede mi yoksa sanal alanda mı çalıştığını tespit etmek için anti-analiz mekanizmaları kullanır. Ortamın gerçek olduğunu tespit ederse, kapsamlı veri toplamaya başlar. Kötü amaçlı yazılım, parolalara, kripto para cüzdanlarına ve hassas sistem verilerine bağlı dosyaları arar.
İlgi alanlarımın başlıcaları şunlardır:
Keychain Access : Apple'ın yerel parola depolama aracı.
Notlar Uygulaması : Kullanıcılar tarafından özel bilgileri saklamak amacıyla sıklıkla kötüye kullanılır.
Web Tarayıcıları : Tarama geçmişleri, çerezler, otomatik doldurma girişleri, saklanan kimlik bilgileri ve ödeme ayrıntılarının zengin bir kaynağı.
Veri Hırsızlığının Ötesine Geçmek
Shamos, kimlik bilgisi toplamakla sınırlı değildir. Aşağıdakiler de dahil olmak üzere ek yükler indirdiği gözlemlenmiştir:
- Büyük ölçekli ağ sömürüsüne yönelik bir botnet modülü.
- Kripto para kullanıcılarını kandırmak için tasarlanmış sahte bir Ledger Live cüzdan uygulaması.
Bu tür yetenekler Shamos'u fidye yazılımları, truva atları, kripto madencileri ve diğer yüksek etkili tehditler de dahil olmak üzere daha geniş çaplı enfeksiyonlara açılan bir kapı haline getiriyor.
Coğrafi Hedefleme ve Hariç Tutmalar
Shamos'u dağıtan kampanyalar ağırlıklı olarak Amerika Birleşik Devletleri, Birleşik Krallık, Kanada, Çin, Kolombiya, İtalya, Japonya ve Meksika'daki kullanıcıları hedef aldı. Dikkat çekici bir istisna ise, Rusya merkezli MaaS operatörlerinin yerel hedeflerden kaçınması gibi yaygın bir uygulamayla örtüşen Rusya.
ClickFix Dolandırıcılıkları Eylemde
Shamos kampanyalarının temel taşı, kurbanları meşru Mac destek sayfaları gibi görünen sahte web sitelerine yönlendiren kötü amaçlı reklamlar ve SEO zehirlenmesidir. Bu web siteleri, kullanıcılara zararlı komutlar vermeleri talimatını vermeden önce güven oluşturmak için özgün markalama kullanır.
Siber suçlular ayrıca iTerm2, CAD yazılımları, video düzenleyiciler, yapay zeka araçları ve optimizasyon programları gibi popüler Mac araçları için ücretsiz indirme olanağı sunan aldatıcı GitHub depolarını kullandılar.
Diğer Olası Dağıtım Yöntemleri
ClickFix dolandırıcılıkları birincil dağıtım mekanizması olmaya devam ederken, Shamos ayrıca aşağıdakiler de dahil olmak üzere daha geleneksel kötü amaçlı yazılım dağıtım teknikleriyle de yayılabilir:
Oltalama ve Sosyal Mühendislik : E-posta, özel mesajlar veya doğrudan mesajlar yoluyla gönderilen kötü amaçlı bağlantılar veya ekler.
Drive-By İndirmeleri ve Kötü Amaçlı Reklamlar : Tehlikeye atılmış veya kötü amaçlı sitelerdeki gizli yükler.
Şüpheli Dağıtım Kanalları : Korsan yazılımlar, crack'ler, üçüncü taraf ücretsiz yazılımlar ve P2P ağları.
Sahte Güncellemeler : Kullanıcıları sahte güvenlik veya sistem güncellemeleri yüklemeye teşvik eden aldatıcı uyarılar.
Kendi Kendine Yayılma : Bazı kötü amaçlı yazılım çeşitleri yerel ağlar veya harici sürücüler aracılığıyla otonom olarak yayılır.
Sonuç
Shamos'un bir sistemde bulunması, ciddi gizlilik ihlallerine, kimlik hırsızlığına, mali kayıplara ve zincirleme saldırılar yoluyla birden fazla enfeksiyona yol açabilir. MaaS modeli, düşük becerili tehdit aktörlerinin bile erişebilmesini sağlayarak, dünya çapındaki macOS kullanıcıları için sürekli bir tehdit oluşturur.
