Malware infostealer baru yang menargetkan perangkat Mac, yang disebut ‘Shamos,’ menargetkan perangkat Mac dalam serangan clickFix yang menyamar sebagai pemandu pemecahan masalah dan perbaikan.
Malware baru, yang merupakan varian dari atom MacOS Stealer (AMOS), dikembangkan oleh kelompok penjahat cyber “Cookie Spider,” dan digunakan untuk mencuri data dan kredensial yang disimpan di browser web, item gantungan kunci, catatan Apple, dan dompet cryptocurrency.
Crowdstrike, yang mendeteksi shamos, Laporan Bahwa malware telah mencoba infeksi terhadap lebih dari tiga ratus lingkungan di seluruh dunia yang mereka pantau sejak Juni 2025.
Dipromosikan melalui serangan clickfix
Korban terpikat melalui repositori gitub palsu atau repositori palsu yang memanfaatkan serangan clickFix yang mendorong pengguna untuk menjalankan perintah shell di terminal macOS.
Aktor ancaman meminta pengguna untuk menjalankan perintah ini untuk menginstal perangkat lunak atau memperbaiki kesalahan palsu, tetapi ketika dieksekusi, mereka benar -benar mengunduh dan menjalankan malware pada perangkat.
Sumber: CrowdStrike
Iklan atau halaman spoofed (Mac-Safer[.]com, Rescue-Mac[.]com) mengklaim memberikan bantuan dengan masalah macOS yang mungkin dicari orang, berisi instruksi yang mengarahkan mereka untuk menyalin dan menempelkan perintah untuk memperbaiki masalah.
Sumber: CrowdStrike
Alih-alih memperbaiki apa pun, perintah tersebut mendekode URL yang dikodekan oleh base64 dan mengambil skrip bash jahat dari server jarak jauh.
Sumber: CrowdStrike
Script menangkap kata sandi pengguna, mengunduh Shamos Mach-O Executable, dan menyiapkan dan mengeksekusi malware menggunakan ‘xattr’ (menghapus bendera karantina) dan ‘chmod’ (membuat biner dapat dieksekusi) ke bypass gatekeeper.
Pencurian Data Shamos
Setelah dieksekusi pada perangkat, ShamOS menjalankan perintah anti-VM untuk memverifikasi itu tidak berjalan di kotak pasir, diikuti oleh perintah Applescript untuk pengintaian host dan pengumpulan data.
Shamos mencari data sensitif pada perangkat, termasuk file dompet cryptocurrency, data gantungan kunci, data catatan Apple, dan informasi yang disimpan di browser korban.
Setelah mengumpulkan semuanya, itu mengemasnya ke arsip bernama ‘Out.zip’ dan mengirimkannya ke penyerang menggunakan Curl.
Dalam kasus di mana malware berjalan dengan hak istimewa sudo, itu juga membuat file plist (com.finder.helper.plist) dan menyimpannya di direktori peluncuran pengguna, memastikan kegigihan melalui eksekusi otomatis pada startup sistem.
CrowdStrike juga mencatat bahwa Shamos dapat mengunduh muatan tambahan ke direktori home korban, dan telah mengamati kasus -kasus di mana aktor ancaman menjatuhkan aplikasi dompet hidup buku besar dan modul botnet.
Pengguna MacOS disarankan untuk tidak menjalankan perintah pada sistem mereka yang mereka temukan online jika mereka tidak sepenuhnya memahami apa yang mereka lakukan.
Hal yang sama berlaku untuk repositori GitHub, karena platform ini sayangnya merupakan tuan rumah untuk berbagai proyek jahat yang bertujuan menginfeksi pengguna yang tidak curiga.
Saat menghadapi masalah dengan macOS, lebih baik Anda menghindari hasil pencarian yang disponsori dan sebagai gantinya mencari bantuan di forum komunitas Apple, yang dimoderatori oleh Apple, atau bantuan bawaan sistem (CMD + Space → “Help”).
Serangan clickFix telah menjadi taktik luas dalam mendistribusikan malware, dengan aktor ancaman menggunakannya Video Tiktok, Menyamarkan mereka sebagai captchasatau sebagai perbaikan untuk palsu Kesalahan Google Meet.
Taktik ini telah terbukti sangat efektif dalam menggunakan malware yang telah digunakan serangan ransomware dan bahkan oleh Aktor ancaman yang disponsori negara.
