Nowe złośliwe oprogramowanie Infostealer o nazwie „Shamos” aktywnie atakuje urządzenia Mac poprzez zwodnicze ataki „Clickfix”, które naśladują przewodniki i poprawki oprogramowania. To złośliwe oprogramowanie, zidentyfikowane jako wariant Atomic MacOS Crayer (AMOS), zostało opracowane przez CyberKriminal Group znaną jako „pająk cookie”. Shamos został zaprojektowany do kradzieży wrażliwych danych i poświadczeń przechowywanych w przeglądarkach internetowych, elementach brelikańskich, notatek Apple i portfelach kryptowalut.
Crowdstrike wykrył Shamos i raporty z próby infekcji w ponad 300 środowiskach, które monitorują na całym świecie, począwszy od czerwca 2025 r. Złośliwe oprogramowanie jest rozpowszechniane przez ataki Clickfix, często obejmujące złośliwe lub fałszywe repozytoria Github, które oszukują użytkowników w realizacji poleceń powłoki w terminalu macos.
Ataki te zwabiają ofiary, zachęcając ich do uruchamiania poleceń pod pozorem instalowania oprogramowania lub rozwiązywania fikcyjnych błędów. Jednak wykonywanie tych poleceń powoduje pobieranie i wykonywanie Shamos na docelowym urządzeniu. Zwodnicze reklamy lub sfałszowane strony, takie jak „Mac-Safer[.]com ”i„ Rescue-Mac[.]com ”, twierdzi, że oferuje rozwiązania typowych problemów z macOS, zachęcając użytkowników do kopiowania i wklejania, dostarczając poleceń w celu rzekomego rozwiązania problemów.
Zamiast zapewnić jakąkolwiek prawdziwą poprawkę, polecenie dekoduje adres URL kodowany Base64 i pobiera złośliwy skrypt bash ze zdalnego serwera. Ten skrypt przechwytuje hasło użytkownika, pobiera wykonywalne Shamos Mach-O oraz przygotowuje i wykonuje złośliwe oprogramowanie za pomocą „xattr” (w celu usunięcia flagi kwarantanny) i „chmod” (aby uczynić binarną wykonywanie), skutecznie omijając środki bezpieczeństwa strażnika.
Po wykonaniu Shamos inicjuje polecenia anty-VM do wykrywania środowisk piaskownicy, a następnie używa poleceń AppleScript do rozpoznania hosta i gromadzenia danych. Złośliwe oprogramowanie wyszukuje pliki portfela kryptowalut, dane dotyczące kluczowania, dane Apple Notes i informacje przechowywane w przeglądarce.
Po zebraniu danych, Shamos pakuje je w archiwum „Out.zip” i przesyła je do atakującego za pomocą Curl. Jeśli Shamos jest wykonywany z uprawnieniami Sudo, tworzy plik Plist (com.finder.helper.plist) i przechowuje go w katalogu uruchamiania użytkownika, aby zapewnić trwałość poprzez automatyczne wykonywanie po uruchomieniu systemu.
Crowdstrike zauważył również, że Shamos może pobrać dodatkowe ładunki do katalogu domowego ofiary, w tym sfałszowanej aplikacji do portfela Ledger Live i modułu botnetu.
Użytkownicy macOS są silnie zalecani od wykonywania poleceń znalezionych online, chyba że w pełni rozumieją swoją funkcję. Podobnie należy zachować ostrożność z repozytoriami GitHub, ponieważ często są tam hostowane złośliwe projekty, mające na celu zarażanie niczego niepodejrzewających użytkowników. Podczas napotkania problemów z macOS użytkownicy powinni unikać sponsorowanych wyników wyszukiwania i zamiast tego szukać pomocy na oficjalnych forach Apple Community lub wbudowanej funkcji systemu.
Ataki Clickfix stają się coraz bardziej rozpowszechnione w przypadku dystrybucji złośliwego oprogramowania, a aktorzy zagrożeni zatrudniają je w filmach Tiktok, ukrywają je jako Captchas lub udając poprawki dla fałszywych błędów Google. Ta taktyka okazała się wysoce skuteczna i została wykorzystana w atakach oprogramowania ransomware i przez państwo podmiotów zagrożenia.
Source: Shamos złośliwe oprogramowanie celuje w macOS za pomocą ataków Clickfix
