Uusi infostealer -haittaohjelma nimeltä ’Shamos’ kohdistuu aktiivisesti MAC -laitteisiin harhaanjohtavien “ClickFix” -hyökkäysten avulla, jotka jäljittelevät vianetsintäoppaita ja ohjelmistokorjauksia. Tämän haittaohjelman, joka on tunnistettu variantiksi Atomic MacOS -varastajasta (AMOS), on kehittänyt verkkorikollisen ryhmä, joka tunnetaan nimellä “Cookie Spider”. Shamos on suunniteltu varastamaan arkaluontoisia tietoja ja käyttöoikeustiedot, jotka on tallennettu verkkoselaimiin, avainnipun esineisiin, Apple -muistiinpanoihin ja salausvaluutta lompakkoihin.
Crowdstrike on havainnut Shamos ja raportit, jotka yrittäisivät infektioita yli 300 ympäristössä, joita he seuraavat maailmanlaajuisesti, kesäkuussa 2025 alkaen. Haittaohjelmat levitetään Clickfix -hyökkäysten avulla, joihin liittyy usein vääriä GitHub -arkistoja, jotka huijaavat käyttäjiä suorittamaan Shell -komentoja MacOS -terminaalissa.
Nämä hyökkäykset houkuttelevat uhreja kehottamalla heitä suorittamaan komentoja ohjelmistojen asentamisen varjolla tai kuvitteellisten virheiden ratkaisemiseksi. Näiden komentojen suorittaminen johtaa kuitenkin Shamosin lataamiseen ja suorittamiseen kohdennetussa laitteessa. Petolliset mainokset tai huijatut sivut, kuten ”Mac-Safer[.]com ”ja“ Rescue-Mac[.]com, ”väittää tarjoavansa ratkaisuja tavallisille macOS -ongelmille, käyttäjien houkuttelemiseksi kopioimaan ja liittämään komentoja ongelmien väittämiseksi.
Sen sijaan, että tarjoaisi aitoa korjausta, komento dekooda Base64-koodatun URL-osoitteen ja hakee haitallisen bash-komentosarjan etäpalvelimelta. Tämä skripti kaappaa käyttäjän salasanan, lataa Shamos Mach-O-suoritettavan ja valmistaa ja suorittaa haittaohjelmat käyttämällä ’xattr’ (karanteenin lipun poistamiseksi) ja ’chmod’ (binaarisen suoritettavan tekemiseksi), ohittaen tehokkaasti portinvartijan turvatoimenpiteet.
Suoritettuaan Shamos aloittaa VM-anti-VM-komennot hiekkalaatikkoympäristöjen havaitsemiseksi ja käyttää sitten Applescript-komentoja isäntätutkimukseen ja tiedonkeruun. Haittaohjelma etsii kryptovaluutta lompakkotiedostoja, näppäimistötietoja, Apple Notes -tietoja ja selainrekisteröityjä tietoja.
Tietojen keräämisen jälkeen Shamos pakata sen arkistoksi nimeltä ’Out.zip’ ja välittää sen hyökkääjälle Curl -ohjelmalla. Jos Shamos suoritetaan sudo -oikeuksilla, se luo PLIST -tiedoston (com.finder.helper.plist) ja tallentaa sen käyttäjän käynnistysDaemons -hakemistoon varmistaaksesi pysyvyyden automaattisen suorituksen avulla järjestelmän käynnistyksen yhteydessä.
Crowdstrike havaitsi myös, että Shamos voi ladata ylimääräisiä hyötykuormia uhrin kotihakemistoon, mukaan lukien huijattu Ledger Live Wallet -sovellus ja botnet -moduuli.
MacOS -käyttäjiä neuvotaan voimakkaasti verkossa löydettyjen komentojen suorittamiseen, elleivät he ymmärrä täysin heidän tehtäväänsä. Samoin GitHub -arkistojen kanssa tulisi käyttää varovaisuutta, koska siellä isännöidaan usein haitallisia projekteja, joiden tarkoituksena on tartuttaa epäuskoisia käyttäjiä. Kun kohtaavat MacOS-ongelmia, käyttäjien tulee välttää sponsoroituja hakutuloksia ja etsiä sen sijaan apua virallisilta Apple Community Forum -tapahtumilta tai järjestelmän sisäänrakennetulta ohjeominaisuudesta.
ClickFix -hyökkäyksistä on tullut yhä yleisempiä haittaohjelmien jakeluun, ja uhkatoimijat käyttävät niitä Tiktok -videoissa, peittämällä ne captchasiksi tai poseeraavat väärennettyjen Google -tapaamisten virheiden korjauksina. Tämä taktiikka on osoittautunut erittäin tehokkaaksi ja sitä on hyödynnetty ransomware-hyökkäyksissä ja valtion tukemien uhkien toimijoiden toimesta.
Source: Shamos -haittaohjelma kohdistuu MacOS: n ClickFix -hyökkäysten kautta
