Kẻ đánh cắp Shamos
Shamos là một phần mềm độc hại macOS mới được phát hiện, được thiết kế đặc biệt để xâm nhập các thiết bị macOS. Hoạt động ít nhất từ mùa hè năm 2025, phần mềm độc hại này được vận hành dưới dạng dịch vụ phần mềm độc hại (MaaS) do một nhóm có tên là COOKIE SPIDER cung cấp. Phương thức lây lan chủ yếu của nó là lừa đảo ClickFix, một kỹ thuật ngày càng phổ biến trong giới tội phạm mạng nhắm vào người dùng macOS. Shamos được xác định là một biến thể của mối đe dọa di động AMOS (Atomic) Stealer .
Mục lục
Con đường lây nhiễm ban đầu
Shamos chủ yếu xâm nhập hệ thống thông qua các trò lừa đảo ClickFix, lừa người dùng sao chép và dán các lệnh độc hại vào Terminal. Hành động này kích hoạt việc tải xuống một tập lệnh Bash bỏ qua kiểm tra Gatekeeper, đánh cắp thông tin đăng nhập và cuối cùng triển khai tệp Mach-O chứa Shamos. Bằng cách lợi dụng lòng tin của người dùng vào lời khuyên khắc phục sự cố, phương pháp này làm tăng đáng kể tỷ lệ lây nhiễm.
Tàng hình và Thu thập dữ liệu
Sau khi được thực thi, Shamos sử dụng cơ chế chống phân tích để phát hiện xem nó đang chạy trên máy ảo hay hộp cát. Nếu xác định môi trường là thật, nó sẽ bắt đầu thu thập dữ liệu quy mô lớn. Phần mềm độc hại này sẽ săn lùng các tệp liên quan đến mật khẩu, ví tiền điện tử và dữ liệu hệ thống nhạy cảm.
Các lĩnh vực quan tâm chính bao gồm:
Keychain Access : Tiện ích lưu trữ mật khẩu gốc của Apple.
Ứng dụng Ghi chú : Thường bị người dùng sử dụng sai mục đích để lưu trữ thông tin riêng tư.
Trình duyệt web : Nguồn lưu trữ phong phú về lịch sử duyệt web, cookie, mục nhập tự động điền, thông tin đăng nhập đã lưu và thông tin thanh toán.
Mở rộng ra ngoài vấn đề trộm cắp dữ liệu
Shamos không chỉ giới hạn ở việc thu thập thông tin đăng nhập. Nó còn được phát hiện tải xuống thêm các dữ liệu quan trọng khác, bao gồm:
- Một mô-đun botnet dùng để khai thác mạng lưới trên quy mô lớn.
- Ứng dụng ví Ledger Live giả mạo được thiết kế để lừa người dùng tiền điện tử.
Những khả năng như vậy khiến Shamos trở thành cửa ngõ dẫn đến các loại virus lây nhiễm rộng hơn, bao gồm ransomware, trojan, đào tiền điện tử và các mối đe dọa có tác động lớn khác.
Nhắm mục tiêu và loại trừ theo địa lý
Các chiến dịch phân phối Shamos chủ yếu nhắm vào người dùng ở Hoa Kỳ, Vương quốc Anh, Canada, Trung Quốc, Colombia, Ý, Nhật Bản và Mexico. Một ngoại lệ đáng chú ý là Nga, điều này phù hợp với thông lệ chung của các nhà khai thác MaaS có trụ sở tại Nga là tránh nhắm mục tiêu tại địa phương.
Lừa đảo ClickFix đang diễn ra
Nền tảng của các chiến dịch Shamos nằm ở quảng cáo độc hại và đầu độc SEO, dẫn dắt nạn nhân đến các trang web lừa đảo được ngụy trang thành các trang hỗ trợ Mac hợp pháp. Các trang web này sử dụng thương hiệu xác thực để xây dựng lòng tin trước khi hướng dẫn người dùng thực hiện các lệnh độc hại.
Ngoài ra, tội phạm mạng còn sử dụng kho lưu trữ GitHub lừa đảo, cung cấp miễn phí các công cụ Mac phổ biến như iTerm2, phần mềm CAD, trình chỉnh sửa video, công cụ AI và chương trình tối ưu hóa.
Các phương pháp phân phối khả thi khác
Trong khi lừa đảo ClickFix vẫn là cơ chế phát tán chính, Shamos cũng có thể lây lan thông qua các kỹ thuật phân phối phần mềm độc hại truyền thống hơn, bao gồm:
Lừa đảo và kỹ thuật xã hội : Gửi liên kết hoặc tệp đính kèm độc hại qua email, tin nhắn riêng tư hoặc tin nhắn trực tiếp.
Tải xuống và quảng cáo độc hại : Các phần mềm ẩn trên các trang web bị xâm phạm hoặc độc hại.
Kênh phân phối đáng ngờ : Phần mềm vi phạm bản quyền, phần mềm crack, phần mềm miễn phí của bên thứ ba và mạng P2P.
Cập nhật giả : Lời nhắc lừa đảo thúc giục người dùng cài đặt bản cập nhật bảo mật hoặc hệ thống giả mạo.
Tự phát tán : Một số biến thể phần mềm độc hại lây lan tự động qua mạng cục bộ hoặc ổ đĩa ngoài.
Kết luận
Sự hiện diện của Shamos trên hệ thống có thể dẫn đến xâm phạm quyền riêng tư nghiêm trọng, đánh cắp danh tính, tổn thất tài chính và lây nhiễm nhiều lần thông qua các cuộc tấn công liên tiếp. Mô hình MaaS của nó đảm bảo rằng ngay cả những kẻ tấn công có kỹ năng thấp cũng có thể truy cập được Shamos, khiến nó trở thành mối nguy hiểm dai dẳng cho người dùng macOS trên toàn thế giới.
