Shamos Stealer
Shamos 是一款最近發現的 macOS 惡意軟體,專門用於攻擊 macOS 裝置。該惡意軟體至少自 2025 年夏季起活躍,由一個名為 COOKIE SPIDER 的組織以惡意軟體即服務 (MaaS) 的形式運作。其主要傳播媒介是 ClickFix 詐騙,這種技術在針對 macOS 用戶的網路犯罪分子中越來越流行。 Shamos 已被確定為AMOS (Atomic) Stealer移動威脅的變種。
目錄
初始感染途徑
Shamos 主要透過 ClickFix 詐騙入侵系統,誘騙使用者將惡意指令複製貼上到終端。此操作會觸發下載 Bash 腳本,繞過 Gatekeeper 檢查,竊取登入憑證,並最終部署攜帶 Shamos 的 Mach-O 檔案。透過利用使用者對故障排除建議的信任,這種方法顯著提高了感染率。
隱身和資料收集
一旦執行,Shamos 就會採用反分析機制來偵測其運作環境是虛擬機器還是沙盒。如果確定環境真實,就會開始大規模資料收集。該惡意軟體會搜尋與密碼、加密貨幣錢包和敏感系統資料相關的文件。
主要關注領域包括:
鑰匙串存取:Apple 的原生密碼儲存實用程式。
筆記應用程式:經常被使用者濫用來儲存私人詳細資訊。
Web 瀏覽器:豐富的瀏覽記錄、cookie、自動填入項目、儲存的憑證和付款詳細資訊來源。
超越資料竊取
Shamos 的功能不僅限於憑證竊取。據觀察,它還會下載其他有效載荷,包括:
- 用於大規模網路利用的殭屍網路模組。
- 一個假的 Ledger Live 錢包應用程序,旨在欺騙加密貨幣用戶。
這些功能使 Shamos 成為更廣泛感染的門戶,包括勒索軟體、木馬、加密礦工和其他高影響威脅。
地理定位和排除
分發 Shamo 的攻擊活動主要針對美國、英國、加拿大、中國、哥倫比亞、義大利、日本和墨西哥的用戶。值得注意的例外是俄羅斯,這符合俄羅斯 MaaS 業者避免本地目標的慣例。
ClickFix 詐騙案例
Shamos 攻擊活動的基石在於惡意廣告和 SEO 中毒,這些攻擊會將受害者引導至偽裝成合法 Mac 支援頁面的詐騙網站。這些網站會利用真實的品牌建立信任,然後誘導使用者執行有害指令。
此外,網路犯罪分子還使用欺騙性的 GitHub 儲存庫,提供流行的 Mac 工具(如 iTerm2、CAD 軟體、影片編輯器、AI 工具和優化程式)的免費下載。
其他可能的分發方法
雖然ClickFix 詐騙仍然是主要的傳播機制,但 Shamos 也可以透過更傳統的惡意軟體分發技術來傳播,包括:
網路釣魚和社會工程:透過電子郵件、私人訊息或直接訊息發送惡意連結或附件。
驅動下載和惡意廣告:受感染或惡意網站上的隱藏負載。
可疑的發行管道:盜版軟體、破解軟體、第三方免費軟體和 P2P 網路。
虛假更新:欺騙性提示敦促用戶安裝虛假的安全性或系統更新。
自我擴散:一些惡意軟體變種透過本地網路或外部驅動器自主傳播。
底線
Shamos 病毒一旦感染系統,可能導致嚴重的隱私侵犯、身分盜竊、財務損失,並透過連鎖攻擊造成多重感染。其 MaaS 模式確保即使是低技能的威脅行為者也能輕鬆訪問,從而對全球 macOS 用戶構成持續威脅。
