Um novo malware da InfoSoSealer chamado ‘Shamos’ está visando ativamente dispositivos Mac por meio de ataques enganosos “clickfix” que imitam guias de solução de problemas e correções de software. Esse malware, identificado como uma variante do ladrão de macos atômico (AMOS), foi desenvolvido pelo grupo cibercriminal conhecido como “Spider de biscoito”. Shamos foi projetado para roubar dados e credenciais confidenciais armazenados em navegadores da web, itens de chaveiro, notas da Apple e carteiras de criptomoeda.
Crowdstrike detectou Shamos e os relatórios tentavam infecções em mais de 300 ambientes que eles monitoram globalmente, a partir de junho de 2025. O malware é disseminado através de ataques de clickfix, geralmente envolvendo repositórios de Malvertising ou Github que induzem os usuários a executar comandos do Shell no terminal MacOS.
Esses ataques atraem as vítimas, levando -as a executar comandos sob o pretexto de instalar software ou resolver erros fictícios. No entanto, a execução desses comandos resulta no download e execução de shamos no dispositivo direcionado. Os anúncios enganosos ou páginas falsificadas, como “Mac-Safer[.]com ”e“ Rescue-Mac[.]com, ”afirma oferecer soluções a problemas comuns do macOS, atraindo os usuários a copiar e colar comandos fornecidos para corrigir os problemas.
Em vez de fornecer qualquer correção genuína, o comando decodifica um URL codificado por Base64 e busca um script de bash malicioso de um servidor remoto. Esse script captura a senha do usuário, baixa o executável Shamos Mach-O e prepara e executa o malware usando ‘xattr’ (para remover o sinalizador de quarentena) e ‘chmod’ (para fazer o executável binário), ignorando efetivamente as medidas de segurança do gatekeeper.
Depois de executado, o Shamos inicia comandos anti-VM para detectar ambientes de sandbox e, em seguida, usa comandos de AppleScript para reconhecimento de host e coleta de dados. O malware procura arquivos de carteira de criptomoeda, dados do chaveiro, dados do Apple Notes e informações armazenadas no navegador.
Depois de coletar os dados, Shamos o empacota em um arquivo chamado ‘Out.zip’ e o transmite ao invasor usando o CURL. Se o shamos for executado com privilégios sudo, ele cria um arquivo plist (com.finder.helper.plist) e o armazena no diretório Launchdaemons do usuário para garantir a persistência por meio da execução automática após a inicialização do sistema.
Crowdstrike também observou que os shamos podem baixar cargas úteis adicionais no diretório inicial da vítima, incluindo um aplicativo de carteira Live Ledger Ledger e um módulo de botnet.
Os usuários do MacOS são fortemente aconselhados contra a execução de comandos encontrados on -line, a menos que entendam completamente sua função. Da mesma forma, deve -se ter cuidado com os repositórios do GitHub, pois projetos maliciosos são frequentemente hospedados lá, com o objetivo de infectar usuários inocentes. Ao encontrar problemas com o MacOS, os usuários devem evitar os resultados de pesquisa patrocinados e, em vez disso, buscar a assistência dos fóruns oficiais da comunidade da Apple ou do recurso de ajuda interno do sistema.
Os ataques de clickfix tornaram -se cada vez mais prevalecentes para a distribuição de malware, com os atores de ameaças empregando -os em vídeos Tiktok, disfarçando -os como captchas ou posando como correções para erros falsos do Google. Essa tática se mostrou altamente eficaz e foi utilizada em ataques de ransomware e por atores de ameaças patrocinados pelo Estado.
Source: Malware Shamos tem como alvo o macOS via ataques clickfix
