Eine neue Infostaler -Malware, die als „Shamos“ bezeichnet wird, richtet sich aktiv auf Mac -Geräte durch irreführende ClickFix -Angriffe ab. Diese Angriffe tarnen sich als legitime Fehlerbehebungsleitfäden und angebliche Systembehebungen und täuschen die Benutzer dazu, die böswillige Software unwissentlich zu installieren.
Shamos, die als Variante des Atomic MacOS -Stealer (AMOS) identifiziert wurden, wurde Berichten zufolge von der Cyberkriminellengruppe entwickelt, die als „Cookie Spider“ bekannt ist. Die Hauptfunktion von Shamos besteht darin, sensible Daten und Anmeldeinformationen in verschiedenen Anwendungen und Diensten auf dem kompromittierten Mac -Gerät zu pilferieren. Dies umfasst Informationen von Webbrowsern, Schlüsselbundzugriff, Apple Notes und Kryptowährungsbrieftaschen.
Crowdstrike, eine Cybersicherheitsfirma, erkannt Die Shamos -Malware und berichtete, dass Infektionsversuche in über 300 Umgebungen weltweit seit Juni 2025 identifiziert wurden. Dies deutet auf eine weit verbreitete und laufende Kampagne hin, die auf die Mac -Benutzer abzielt.
Die Malware wird durch ClickFix -Angriffe propagiert, die über Malvertisierung oder über irreführende Github -Repositorys geliefert werden. Diese Angriffe manipulieren Benutzer dazu, bestimmte Shell -Befehle in der macOS -Terminalanwendung auszuführen. Opfer werden häufig Aufforderungen vorgestellt, die sie auffordern, diese Befehle unter dem Deckmantel der Installation von Software oder der Lösung fabrizierter Fehler auszuführen. Die Ausführung dieser Befehle initiiert jedoch den Download und Installation der Shamos -Malware auf das System.
Anzeigen und gefälschte Webseiten wie Mac-Safer[.]com und rettungsmac[.]com, werden verwendet, um potenzielle Opfer zu locken. Auf diesen Seiten behaupten häufig, dass sie mit allgemeinen MacOS -Problemen helfen, nach denen Benutzer wahrscheinlich online suchen. Die Seiten enthalten Anweisungen, die Benutzer dazu veranlassen, Befehle zu kopieren und in das Terminal einzufügen, um das identifizierte Problem angeblich zu beheben. Unbekannt für den Benutzer beheben diese Befehle keine Probleme, sondern initiieren den Malware -Infektionsprozess.
Der böswillige Befehl wird bei der Ausführung fortgesetzt, um eine Base64-kodierte URL zu dekodieren und ein bösartiges Bash-Skript von einem Remote-Server abzurufen. Dieses Skript erfasst das Passwort des Benutzers und lädt die ausführbare Shamos Mach-O herunter. Das Skript erstellt und führt die Malware weiter vor und führt mit ‚XATTR‘ aus, um das Quarantäneflag und ‚Chmod‘ zu entfernen, um die ausführbare Binärdatei effektiv zu machen, wodurch die Sicherheitsfunktion von Apple effektiv umgangen wird.
Sobald Shamos auf einem Gerät ausgeführt wurden, führt es Anti-VM-Befehle durch, um festzustellen, ob es in einer Sandbox-Umgebung ausgeführt wird. Anschließend werden AppleScript -Befehle für die Aufklärung und Datenerfassung der Host ausgeführt. Shamos sucht dann nach bestimmten Arten von sensiblen Daten, die auf dem Gerät gespeichert sind, einschließlich Kryptowährungs -Brieftaschendateien, Schlüsselkettendaten, Apple -Notizen und Informationen, die im Webbrowser des Opfers gespeichert sind.
Nach Abschluss des Datenerfassungsprozesses packt Shamos die gesammelten Informationen in eine Archivdatei mit dem Namen „Out.zip“ ein und übermittelt dieses Archiv mit dem Befehl „curl“ an den Angreifer. In Fällen, in denen die Malware mit Sudo (Superuser) -Regilegien ausgeführt wird, erstellt Shamos eine Plist -Datei mit dem Namen „com.finder.helper.plist“ und speichert sie im LaunchdaMons -Verzeichnis des Benutzers. Dies gewährleistet die Beharrlichkeit durch automatische Ausführung, wenn das System beginnt.
Crowdstrikes Analyse ergab auch, dass Shamos die Fähigkeit besitzt, zusätzliche Nutzlasten auf das Heimverzeichnis des Opfers herunterzuladen. Es wurden Fälle beobachtet, bei denen Bedrohungsakteure eine Live -Brieftaschenanwendung und ein Botnet -Modul eingeleitet haben.
MacOS -Benutzer werden vor der Online -Ausführung von Befehlen gewarnt, wenn der Zweck und die Funktionalität der Befehle nicht vollständig verstanden werden. Die gleiche Vorsicht gilt für Github -Repositories, da die Plattform häufig ausgenutzt wird, um böswillige Projekte zu veranstalten, um ahnungslose Benutzer zu infizieren. Bei Problemen mit MACOS wird empfohlen, gesponserte Suchergebnisse zu vermeiden und stattdessen durch offizielle Apple Community-Foren, die von Apple moderiert werden, oder durch die integrierte Hilfsfunktion des Systems (CMD + Space → „Hilfe“) zu erhalten.
ClickFix -Angriffe sind zu einer immer häufigeren Taktik geworden, die für die Verteilung von Malware verwendet wird. Bedrohungsakteure verwenden diese Angriffe in verschiedenen Szenarien, einschließlich Tiktok -Videos, getarntem Captchas und als angebliche Korrekturen für gefälschte Google Meet -Fehler. Die Wirksamkeit dieser Taktik hat zu ihrer Einführung bei Ransomware-Angriffen und durch staatlich geförderte Bedrohungsakteure geführt.
