Shamos Stealer
Shamos 是一款最近发现的 macOS 恶意软件,专门用于攻击 macOS 设备。该恶意软件至少自 2025 年夏季起活跃,由一个名为 COOKIE SPIDER 的组织以恶意软件即服务 (MaaS) 的形式运营。其主要传播媒介是 ClickFix 诈骗,这种技术在针对 macOS 用户的网络犯罪分子中越来越流行。Shamos 已被确定为AMOS (Atomic) Stealer移动威胁的一个变种。
目录
初始感染途径
Shamos 主要通过 ClickFix 诈骗入侵系统,诱骗用户将恶意命令复制粘贴到终端。此操作会触发下载 Bash 脚本,绕过 Gatekeeper 检查,窃取登录凭据,并最终部署携带 Shamos 的 Mach-O 文件。通过利用用户对故障排除建议的信任,这种方法显著提高了感染率。
隐身和数据收集
一旦执行,Shamos 就会采用反分析机制来检测其运行环境是虚拟机还是沙盒。如果确定环境真实,就会开始大规模数据收集。该恶意软件会搜索与密码、加密货币钱包和敏感系统数据相关的文件。
主要关注领域包括:
钥匙串访问:Apple 的原生密码存储实用程序。
笔记应用程序:经常被用户滥用来存储私人详细信息。
Web 浏览器:丰富的浏览历史记录、cookie、自动填充条目、存储的凭据和付款详细信息来源。
超越数据盗窃
Shamos 的功能不仅限于凭证窃取。据观察,它还会下载其他有效载荷,包括:
- 用于大规模网络利用的僵尸网络模块。
- 一个假的 Ledger Live 钱包应用程序,旨在欺骗加密货币用户。
这些功能使 Shamos 成为更广泛感染的门户,包括勒索软件、木马、加密矿工和其他高影响威胁。
地理定位和排除
分发 Shamo 的攻击活动主要针对美国、英国、加拿大、中国、哥伦比亚、意大利、日本和墨西哥的用户。值得注意的例外是俄罗斯,这符合俄罗斯 MaaS 运营商避免本地目标的惯例。
ClickFix 诈骗案例
Shamos 攻击活动的基石在于恶意广告和 SEO 中毒,这些攻击会将受害者引导至伪装成合法 Mac 支持页面的欺诈网站。这些网站会利用真实的品牌建立信任,然后再诱导用户执行有害命令。
此外,网络犯罪分子还使用欺骗性的 GitHub 存储库,提供流行的 Mac 工具(如 iTerm2、CAD 软件、视频编辑器、AI 工具和优化程序)的免费下载。
其他可能的分发方法
虽然ClickFix 诈骗仍然是主要的传播机制,但 Shamos 也可以通过更传统的恶意软件分发技术进行传播,包括:
网络钓鱼和社会工程:通过电子邮件、私人消息或直接消息发送恶意链接或附件。
驱动下载和恶意广告:受感染或恶意网站上的隐藏负载。
可疑的分发渠道:盗版软件、破解软件、第三方免费软件和 P2P 网络。
虚假更新:欺骗性提示敦促用户安装虚假的安全或系统更新。
自我扩散:一些恶意软件变种通过本地网络或外部驱动器自主传播。
底线
Shamos 病毒一旦感染系统,可能导致严重的隐私侵犯、身份盗窃、财务损失,并通过连锁攻击造成多重感染。其 MaaS 模式确保即使是低技能的威胁行为者也能轻松访问,从而对全球 macOS 用户构成持续威胁。
