Новая вредоносная программа Infostealer с именем «Shamos» активно нацелен на устройства Mac через обманчивые атаки «Clickfix», которые имитируют руководства по устранению неполадок и исправления программного обеспечения. Это вредоносное ПО, идентифицированное как вариант атомного Macos Cheterer (AMOS), была разработана киберпреступной группой, известной как «печенье». Shamos предназначен для кражи конфиденциальных данных и учетных данных, хранящихся в веб -браузерах, элементах для ключей, Apple Notes и криптовалютных кошельках.
CrowdStrike обнаружил Шамос и отчеты, пытающиеся инфекциям в более чем 300 средах, которые они контролируют во всем мире, начиная с июня 2025 года. Удолошение распространяется в результате атак ClickFix, часто включающих в себя маловерные или фальшивые репозитории GitHub, которые обманывают пользователей в выполнение команд Shell в терминале MacOS.
Эти атаки заманивают жертв, побуждая их запускать команды под видом установки программного обеспечения или разрешения фиктивных ошибок. Тем не менее, выполнение этих команд приводит к загрузке и выполнению Shamos на целевом устройстве. Обманчивые объявления или поддельные страницы, такие как «Mac-Safer[.]com »и« Rescue-Mac[.]com », утверждая, что предлагает решения общих задач MacOS, заманчивая пользователей копировать и вставить предоставленные команды, чтобы якобы решить проблемы.
Вместо того, чтобы предоставлять какое-либо подлинное исправление, команда декодирует URL-адрес BASE64, кодируемый BASE64 и получает злонамеренный сценарий BASH с удаленного сервера. Этот скрипт захватывает пароль пользователя, загружает исполняемый файл Shamos Mach-O, подготавливает и выполняет вредоносное ПО, используя «xattr» (чтобы удалить флаг карантин) и «chmod» (чтобы сделать бинарный исполняемый файл), эффективно обходные меры безопасности.
После выполнения Shamos инициирует анти-VM команды для обнаружения среда песочниц, а затем использует команды AppleScript для разведки хоста и сбора данных. Удолюбие ищет файлы кошелька для криптовалюты, данные для ключей, данные Apple Notes и информацию о хранилище браузера.
После сбора данных Shamos упаковывает их в архив с именем «out.zip» и передает их злоумышленнику, используя Curl. Если Shamos выполняется с привилегиями SUDO, он создает файл PLIST (com.finder.helper.plist) и хранит его в каталоге пользователя LaunchDaemons, чтобы обеспечить постоянство путем автоматического выполнения при запуске системы.
Crowdstrike также заметил, что Shamos может загрузить дополнительные полезные нагрузки в домашний каталог жертвы, включая поддельное приложение Ledger Live Wallet и модуль ботнета.
Пользователям MacOS настоятельно рекомендуется выполнять выполнения команд, найденных в Интернете, если они полностью не понимают свою функцию. Аналогичным образом, следует соблюдать осторожность с помощью репозиториев GitHub, поскольку там часто проводится вредоносные проекты, направленные на заражение ничего не подозревающих пользователей. При столкновении с проблемами с MacOS пользователи должны избегать спонсируемых результатов поиска и вместо этого обращаться за помощью на официальных форумах сообщества Apple или встроенной функции помощи системы.
Атаки ClickFix становятся все более распространенными для распространения вредоносных программ, причем их актеры угроз используют их в видео Tiktok, маскируют их под капчи или представляют собой исправления для фальшивых ошибок Google. Эта тактика оказалась очень эффективной и использовалась в атаках вымогателей и спонсируемыми государством актеров угроз.
Source: Шамос вредоносные программы нацелены на MacOS через атаки clickfix
