Викрадач Shamos
Shamos — це нещодавно виявлене шкідливе програмне забезпечення для macOS, спеціально розроблене для компрометації пристроїв macOS. Активне щонайменше з літа 2025 року, це шкідливе програмне забезпечення працює як пропозиція Malware-as-a-Service (MaaS) групою, відомою як COOKIE SPIDER. Його основним вектором поширення є шахрайство ClickFix, техніка, яка стає дедалі популярнішою серед кіберзлочинців, спрямованих на користувачів macOS. Shamos було ідентифіковано як варіант мобільної загрози AMOS (Atomic) Stealer .
Зміст
Початковий шлях зараження
Shamos проникає в системи переважно через шахрайство ClickFix, яке обманом змушує користувачів копіювати та вставляти шкідливі команди в термінал. Ця дія запускає завантаження скрипта Bash, який обходить перевірки Gatekeeper, викрадає облікові дані для входу та зрештою розгортає файл Mach-O, що містить Shamos. Зловживаючи довірою користувачів до порад щодо усунення несправностей, цей метод значно підвищує рівень зараження.
Прихованість та збір даних
Після запуску Shamos використовує механізми антианалізу, щоб визначити, чи працює він у віртуальній машині, чи в пісочниці. Якщо він визначає, що середовище справжнє, він починає масштабний збір даних. Шкідливе програмне забезпечення шукає файли, пов'язані з паролями, криптовалютними гаманцями та конфіденційними системними даними.
Ключові сфери інтересів включають:
Keychain Access : вбудована утиліта Apple для зберігання паролів.
Додаток для нотаток : часто використовується користувачами для зберігання конфіденційної інформації.
Веббраузери : Багате джерело історії переглядів, файлів cookie, записів автозаповнення, збережених облікових даних та платіжних даних.
Розширення за межі крадіжки даних
Shamos не обмежується лише збором облікових даних. Було помічено, що він завантажує додаткові корисні навантаження, зокрема:
- Модуль ботнету для масштабної мережевої експлуатації.
- Підроблений додаток-гаманець Ledger Live, розроблений для обману користувачів криптовалюти.
Такі можливості роблять Shamos воротами для ширших інфекцій, включаючи програми-вимагачі, трояни, криптомайнери та інші загрози високого ризику.
Географічний таргетинг та виключення
Кампанії з розповсюдження Shamo були спрямовані переважно на користувачів у Сполучених Штатах, Великій Британії, Канаді, Китаї, Колумбії, Італії, Японії та Мексиці. Одним помітним винятком є Росія, що відповідає поширеній практиці російських операторів MaaS, які уникають місцевих цілей.
Шахрайство ClickFix у дії
Основою кампаній Shamos є шкідлива реклама та SEO-отравлення, які спрямовують жертв на шахрайські веб-сайти, замасковані під законні сторінки підтримки Mac. Ці веб-сайти використовують справжній брендинг для формування довіри, перш ніж давати користувачам інструкції щодо виконання шкідливих команд.
Крім того, кіберзлочинці використовували оманливі репозиторії GitHub, пропонуючи безкоштовне завантаження популярних інструментів для Mac, таких як iTerm2, програмне забезпечення CAD, відеоредактори, інструменти штучного інтелекту та програми оптимізації.
Інші можливі методи розповсюдження
Хоча шахрайство ClickFix залишається основним механізмом поширення, Shamos також може поширюватися за допомогою більш традиційних методів розповсюдження шкідливого програмного забезпечення, зокрема:
Фішинг та соціальна інженерія : шкідливі посилання або вкладення через електронну пошту, особисті повідомлення або прямі повідомлення.
Автоматичні завантаження та шкідлива реклама : приховані корисні навантаження на скомпрометованих або шкідливих сайтах.
Підозрілі канали розповсюдження : піратське програмне забезпечення, креки, безкоштовне програмне забезпечення третіх сторін та P2P-мережі.
Фальшиві оновлення : оманливі пропозиції, що спонукають користувачів встановити фальшиві оновлення безпеки або системи.
Самопоширення : деякі варіанти шкідливого програмного забезпечення поширюються автономно через локальні мережі або зовнішні диски.
Підсумок
Присутність Shamos у системі може призвести до серйозних порушень конфіденційності, крадіжки особистих даних, фінансових втрат та численних заражень через ланцюгові атаки. Модель MaaS гарантує, що він залишатиметься доступним навіть для низькокваліфікованих зловмисників, що робить його постійною загрозою для користувачів macOS у всьому світі.
