一种被称为“ Shamos”的新型InfoStealer恶意软件正在通过欺骗性的ClickFix攻击积极针对MAC设备。这些攻击伪装成合法的故障排除指南和声称的系统修复,使用户在不知不觉中安装了恶意软件。
据报道,Shamos被称为原子Macos窃取器(AMO)的一种变体,是由被称为“ Cookie Spider”的控制论组开发的。 SHAMOS的主要功能是在MAC设备上窃取各种应用程序和服务中存储的敏感数据和凭据。这包括来自Web浏览器,钥匙扣访问,Apple Notes和加密货币钱包的信息。
Crowdstrike,网络安全公司, 检测到 Shamos恶意软件并报告说,自2025年6月以来,在全球300多个环境中已经确定了感染尝试。这表明针对Mac用户的广泛且持续的广告系列。
恶意软件是通过ClickFix攻击传播的,该攻击是通过恶意广告或欺骗性的GitHub存储库传播的。这些攻击使用户在MacOS终端应用程序中执行特定的外壳命令。通常向受害者提示,敦促他们以安装软件或解决捏造错误的幌子运行这些命令。但是,这些命令的执行会启动Shamos恶意软件的下载和安装。
广告和欺骗的网页,例如Mac-Safer[.]com and Rescue-Mac[.]com被用来引诱潜在的受害者。这些页面通常声称可以为用户可能在线搜索的常见MACOS问题提供帮助。这些页面包含指示用户将命令复制并粘贴到终端中以解决已确定的问题的说明。这些命令对用户不为人知,没有解决任何问题,而是启动恶意软件感染过程。
恶意命令执行后,将解码base64编码的URL,并从远程服务器检索恶意bash脚本。该脚本捕获用户的密码并下载Shamos Mach-O可执行文件。该脚本进一步准备并执行恶意软件,并利用“ XATTR”删除隔离标志和“ Chmod”,以使二进制可执行文件,有效地绕过Apple的Gatekeeper安全功能。
一旦在设备上执行Shamos,它将执行反VM命令以确定其是否在沙盒环境中运行。此后,执行AppleScript命令以进行主机侦察和数据收集。然后,Shamos搜索存储在设备上的指定类型的敏感数据,包括加密货币钱包文件,钥匙扣数据,Apple Notes数据以及存储在受害者网络浏览器中的信息。
数据收集过程完成后,Shamos将收集的信息包装到名为“ out..zip”的存档文件中,并使用“ curl’命令将此存档发送给攻击者。在使用Sudo(Superuser)特权执行恶意软件的实例中,Shamos创建了一个名为“ com.finder.helper.plist”的PLIST文件,并将其存储在用户的启动Daemons目录中。这可以确保系统启动时通过自动执行的持久性。
CrowdStrike的分析还显示,Shamos具有将额外有效载荷下载到受害者主目录中的能力。已经观察到威胁参与者部署了欺骗的分类帐实时钱包应用程序和僵尸网络模块的情况。
如果未完全理解命令的目的和功能,MACOS用户被警告不要在线执行命令。同样的谨慎也适用于GitHub存储库,因为该平台通常被利用用于托管旨在感染毫无戒心用户的恶意项目。在遇到MACOS问题时,建议避免赞助搜索结果,而是通过Apple官方社区论坛寻求帮助,该论坛由Apple主持,或使用系统的内置帮助功能(CMD + Space→“帮助”)。
ClickFix攻击已成为恶意软件分布的越来越常见的策略。威胁参与者在各种情况下采用这些攻击,包括tiktok视频,伪装的验证码,以及据称为伪造的Google遇到错误的修复程序。这种策略的有效性导致了其在勒索软件攻击和国家赞助的威胁参与者中的采用。
