Nowe złośliwe oprogramowanie Infostealer, nazwane „Shamos”, aktywnie atakuje urządzenia Mac poprzez zwodnicze ataki Clickfix. Ataki te maskaradą jako uzasadnione rozwiązywanie problemów i rzekome poprawki systemowe, oszukując użytkowników, aby nieświadomie instalować złośliwe oprogramowanie.
Shamos, zidentyfikowany jako wariant atomowego macOS Crader (AMOS), został podobno opracowany przez grupę cyberprzestępczką znaną jako „pająk cookie”. Podstawową funkcją ShamOS jest wykładanie poufnych danych i poświadczeń przechowywanych w różnych aplikacjach i usługach na zagrożonym urządzeniu MAC. Obejmuje to informacje z przeglądarek internetowych, dostęp do nerek, notatek Apple i portfeli kryptowalut.
Crowdstrike, firma zajmująca się cyberbezpieczeństwem, wykryte Złośliwe oprogramowanie Shamos i poinformowały, że próby infekcji zostały zidentyfikowane w ponad 300 środowiskach na całym świecie w ramach ich monitorowania od czerwca 2025 r. Wskazuje to na powszechną i trwającą kampanię ukierunkowaną na użytkowników komputerów Mac.
Złośliwe oprogramowanie jest propagowane przez ataki Clickfix, które są dostarczane przez złośliwe lub zwodnicze repozytoria Github. Ataki te manipulują użytkownikami do wykonywania określonych poleceń powłoki w aplikacji terminali MacOS. Ofiarom często przedstawiają podpowiedzi zachęcające do uruchomienia tych poleceń pod pozorem instalowania oprogramowania lub rozwiązywania sfabrykowanych błędów. Jednak wykonanie tych poleceń inicjuje pobieranie i instalację złośliwego oprogramowania Shamos do systemu.
Reklamy i sfałszowane strony internetowe, takie jak Mac-Safer[.]Com i Rescue-Mac[.]com, są używane do zwabienia potencjalnych ofiar. Strony te często twierdzą, że udzielają pomocy w typowych problemach macOS, które użytkownicy prawdopodobnie będą szukać online. Strony zawierają instrukcje, które kierują użytkownikami do kopiowania i wklejania poleceń do terminala, aby rzekomo naprawić zidentyfikowany problem. Bez wiedzy użytkownika te polecenia nie rozwiązują żadnych problemów, ale inicjują proces zakażenia złośliwego oprogramowania.
Złośliwe polecenie, po wykonaniu, odkoduje adres URL kodowanego przez Base64 i pobiera złośliwy skrypt bash ze zdalnego serwera. Ten skrypt przechwytuje hasło użytkownika i pobiera wykonywalne Shamos Mach-O. Skrypt dodatkowo przygotowuje się i wykonuje złośliwe oprogramowanie, wykorzystując „XATTR” do usunięcia flagi kwarantanny i „CHMOD”, aby uczynić binarne wykonywanie, skutecznie omijając funkcję bezpieczeństwa Strażnika Apple.
Po wykonaniu Shamos na urządzeniu wykonuje polecenia anty-VM, aby ustalić, czy działa w środowisku piaskownicy. Następnie wykonywane są polecenia AppleScript w celu rozpoznania hosta i gromadzenia danych. Następnie Shamos wyszukuje określone typy poufnych danych przechowywanych na urządzeniu, w tym pliki portfela kryptowalutowego, dane dotyczące kluczowania, dane Apple Notes i informacje przechowywane w przeglądarkach internetowych ofiary.
Po zakończeniu procesu gromadzenia danych Shamos pakuje zebrane informacje w plik archiwum o nazwie „out.zip” i przesyła to archiwum do atakującego za pomocą polecenia „curl”. W przypadkach, w których złośliwe oprogramowanie jest wykonywane z uprawnieniami Sudo (SuperUser), Shamos tworzy plik Plist o nazwie „com.finder.helper.plist” i przechowuje go w katalogu uruchamiania użytkownika. Zapewnia to wytrwałość poprzez automatyczne wykonywanie po uruchomieniu systemu.
Analiza Crowdstrike ujawniła również, że Shamos posiada zdolność do pobrania dodatkowych ładunków do katalogu domowego ofiary. Zaobserwowano przypadki, w których aktorzy zagrożenia wdrożyli sfałszowaną aplikację portfela Ledger Live i moduł botnetu.
Użytkownicy macOS są ostrożni przed wykonywaniem poleceń znalezionych online, jeśli cel i funkcjonalność poleceń nie są w pełni poznane. Ta sama ostrożność dotyczy repozytoriów GitHub, ponieważ platforma jest często wykorzystywana do gospodarza złośliwych projektów mających na celu zarażanie niczego niepodejrzewających użytkowników. Podczas napotkania problemów z macOS zaleca się unikanie sponsorowanych wyników wyszukiwania i zamiast tego szukać pomocy za pośrednictwem oficjalnych forów społeczności Apple, które są moderowane przez Apple lub za pomocą wbudowanej funkcji pomocy systemu (CMD + Space → „Pomoc”).
Ataki Clickfix stały się coraz powszechniej taktyką stosowaną do dystrybucji złośliwego oprogramowania. Aktorzy zagrożeń stosują te ataki w różnych scenariuszach, w tym w filmach Tiktok, ukrytych Captchas i jako rzekome poprawki dla fałszywych błędów w spotkaniu Google. Skuteczność tej taktyki doprowadziła do przyjęcia ataków oprogramowania ransomware i przez państwo podmiotów zagrożenia.
