Een nieuwe infostealer -malware, genaamd ‘Shamos’, richt zich actief op MAC -apparaten door misleidende clickfix -aanvallen. Deze aanvallen maskeren als legitieme probleemoplossinggidsen en vermeende systeemfixes, waarbij gebruikers misleiden om onbewust de kwaadaardige software te installeren.
Shamos, geïdentificeerd als een variant van de Atomic MacOS Stealer (AMOS), werd naar verluidt ontwikkeld door de cybercriminale groep die bekend staat als ‘Cookie Spider’. De primaire functie van Shamos is om gevoelige gegevens en referenties te pilferen die zijn opgeslagen in verschillende applicaties en services op het gecompromitteerde MAC -apparaat. Dit omvat informatie van webbrowsers, sleutelhanger toegang, Apple Notes en cryptocurrency -portefeuilles.
CrowdStrike, een cybersecuritybedrijf, gedetecteerd De Shamos -malware en gemeld dat infectiepogingen zijn geïdentificeerd in meer dan 300 omgevingen wereldwijd onder hun monitoring sinds juni 2025. Dit duidt op een wijdverbreide en lopende campagne die zich richt op MAC -gebruikers.
De malware wordt gepropageerd door ClickFix -aanvallen, die worden geleverd via Malvertising of via misleidende GitHub -repositories. Deze aanvallen manipuleren gebruikers om specifieke shell -opdrachten uit te voeren binnen de MacOS -terminaltoepassing. Slachtoffers worden vaak gepresenteerd met prompts die hen aanspoorden om deze opdrachten uit te voeren onder het mom van het installeren van software of het oplossen van gefabriceerde fouten. De uitvoering van deze opdrachten initieert echter de download en installatie van de Shamos -malware op het systeem.
Advertenties en spoofed webpagina’s, zoals Mac-Safer[.]com en reddings-mac[.]com, worden gebruikt om potentiële slachtoffers te lokken. Deze pagina’s beweren vaak dat ze hulp bieden met veel voorkomende macOS -problemen die gebruikers waarschijnlijk online zullen zoeken. De pagina’s bevatten instructies die gebruikers opdrachten om opdrachten in de terminal te kopiëren en te plakken om het geïdentificeerde probleem op te lossen. Zonder medeweten van de gebruiker lost deze opdrachten geen problemen op maar in plaats daarvan het malware -infectieproces initiëren.
De kwaadaardige opdracht, wanneer uitgevoerd, gaat door met het decoderen van een Base64-gecodeerde URL en haalt een kwaadaardig bash-script op van een externe server. Dit script legt het wachtwoord van de gebruiker vast en downloadt de Shamos Mach-O-uitvoerbare bestand. Het script bereidt de malware verder voor en voert het gebruik van ‘xattr’ om de quarantaineflag en ‘chmod’ te verwijderen om het binaire uitvoerbare bestand te maken, waardoor Apple’s poortwachter -beveiligingsfunctie effectief wordt omzeild.
Zodra Shamos op een apparaat is uitgevoerd, voert het anti-VM-opdrachten uit om te bepalen of het in een sandbox-omgeving draait. Hierna worden AppleScript -opdrachten uitgevoerd voor hostverkenning en gegevensverzameling. Shamos zoekt vervolgens naar opgegeven soorten gevoelige gegevens die op het apparaat zijn opgeslagen, inclusief cryptocurrency -portemonnee -bestanden, sleutelhangergegevens, Apple Notes -gegevens en informatie die is opgeslagen in de webbrowsers van het slachtoffer.
Nadat het gegevensverzamelingsproces is voltooid, verpakt Shamos de verzamelde informatie in een archiefbestand met de naam ‘out.zip’ en verzendt dit archief naar de aanvaller met behulp van de opdracht ‘curl’. In gevallen waarin de malware wordt uitgevoerd met sudo (superuser) privileges, maakt Shamos een plist -bestand met de naam ‘com.finder.helper.plist’ en slaat deze op in de map van de gebruiker LaunchDaemons. Dit zorgt voor persistentie door automatische uitvoering wanneer het systeem opstart.
De analyse van Crowdstrike heeft ook aangetoond dat Shamos de mogelijkheid heeft om extra payloads te downloaden naar de thuismap van het slachtoffer. Er zijn gevallen waargenomen wanneer dreigingsactoren een spoofed grootboeklive -portemonnee -applicatie en een botnet -module hebben ingezet.
MacOS -gebruikers worden gewaarschuwd tegen het uitvoeren van opdrachten die online worden gevonden als het doel en de functionaliteit van de opdrachten niet volledig wordt begrepen. Dezelfde voorzichtigheid is van toepassing op GitHub -repositories, omdat het platform vaak wordt benut om kwaadaardige projecten te hosten die zijn ontworpen om nietsvermoedende gebruikers te infecteren. Bij het tegenkomen van problemen met MacOS wordt het aanbevolen om gesponsorde zoekresultaten te voorkomen en in plaats daarvan hulp te zoeken via officiële Apple Community Forums, die worden gemodereerd door Apple, of door de ingebouwde helpfunctie van het systeem te gebruiken (CMD + Space → “Help”).
ClickFix -aanvallen zijn een steeds veel voorkomende tactiek geworden die wordt gebruikt voor malwareverdeling. Dreigingsacteurs gebruiken deze aanvallen in verschillende scenario’s, waaronder Tiktok -video’s, vermomde captchas en zoals vermeende oplossingen voor nep Google Meet -fouten. De effectiviteit van deze tactiek heeft geleid tot de goedkeuring ervan bij ransomware-aanvallen en door door de staat gesponsorde dreigingsacteurs.
