Un nuovo malware Infostealer, soprannominato “Shamos”, mira attivamente ai dispositivi MAC attraverso attacchi di clickfix ingannevoli. Questi attacchi si mascherano come guide legittime per la risoluzione dei problemi e pretendevano correzioni di sistema, ingannando gli utenti nell’installazione inconsapevolmente del software dannoso.
Shamos, identificato come una variante del furto Atomic MacOS (AMOS), è stato sviluppato dal gruppo cybercriminale noto come “Cookie Spider”. La funzione principale di Shamos è quella di liberare dati e credenziali sensibili memorizzate all’interno di varie applicazioni e servizi sul dispositivo MAC compromesso. Ciò include informazioni da browser Web, accesso al portachiavi, note Apple e portafogli di criptovaluta.
Crowdstrike, una società di sicurezza informatica, rilevato Il malware di Shamos e ha riferito che i tentativi di infezione sono stati identificati in oltre 300 ambienti a livello globale sotto il loro monitoraggio dal giugno 2025. Ciò indica una campagna diffusa e in corso mira agli utenti MAC.
Il malware viene propagato attraverso gli attacchi ClickFix, che vengono consegnati tramite malvertiti o repositivi ingannevoli GitHub. Questi attacchi manipolano gli utenti nell’esecuzione di comandi di shell specifici all’interno dell’applicazione del terminale MacOS. Le vittime vengono spesso presentate con istruzioni che li esortano a eseguire questi comandi con il pretesto di installare software o risolvere errori fabbricati. Tuttavia, l’esecuzione di questi comandi avvia il download e l’installazione del malware Shamos sul sistema.
Pubblicità e pagine Web falsificate, come Mac-Safer[.]com e salvataggio-mac[.]com, sono usati per attirare potenziali vittime. Queste pagine sostengono spesso di fornire assistenza con problemi MACOS comuni che gli utenti probabilmente cercheranno online. Le pagine contengono istruzioni che indirizzano gli utenti a copiare e incollare i comandi nel terminale per risolvere presumibilmente il problema identificato. All’insaputa dell’utente, questi comandi non risolvono alcun problema ma iniziano invece il processo di infezione da malware.
Il comando dannoso, quando eseguito, procede a decodificare un URL codificato da Base64 e recupera uno script di bash dannoso da un server remoto. Questo script cattura la password dell’utente e scarica l’eseguibile di Shamos Mach-O. Lo script prepara ulteriormente ed esegue il malware, utilizzando “xattr” per rimuovere la bandiera di quarantena e “chmod” per rendere l’eseguibile binario, aggirando efficacemente la funzione di sicurezza di Apple Gatekeeper.
Una volta che Shamos viene eseguito su un dispositivo, esegue comandi anti-VM per determinare se è in esecuzione all’interno di un ambiente sandbox. A seguito di ciò, i comandi AppleScript vengono eseguiti per la ricognizione host e la raccolta dei dati. Shamos quindi cerca tipi specificati di dati sensibili archiviati sul dispositivo, inclusi i file del portafoglio di criptovaluta, i dati del portachiavi, i dati di Apple Notes e le informazioni archiviate nei browser Web della vittima.
Dopo il completamento del processo di raccolta dei dati, SHAMOS confeziona le informazioni raccolte in un file di archivio chiamato “out.zip” e trasmette questo archivio al aggressore usando il comando “Curl”. Nei casi in cui il malware viene eseguito con privilegi Sudo (Superuser), Shamos crea un file plist chiamato “com.finder.helper.plist” e lo archivia nella directory di lancio dell’utente. Ciò garantisce la persistenza attraverso l’esecuzione automatica all’avvio del sistema.
L’analisi di Crowdstrike ha anche rivelato che Shamos possiede la capacità di scaricare ulteriori payload nella directory della vittima della vittima. Sono state osservate istanze in cui gli attori delle minacce hanno implementato un’applicazione di portafoglio Live Live e un modulo Botnet.
Gli utenti di MacOS sono avvertiti contro l’esecuzione di comandi trovati online se lo scopo e la funzionalità dei comandi non sono completamente compresi. La stessa cautela si applica ai repository di GitHub, poiché la piattaforma viene spesso sfruttata per ospitare progetti dannosi progettati per infettare gli utenti ignari. Quando si incontrano problemi con i MACO, si consiglia di evitare i risultati di ricerca sponsorizzati e cercare invece assistenza attraverso i forum ufficiali della comunità Apple, che sono moderati da Apple o utilizzando la funzione di aiuto integrata del sistema (Spazio CMD + → “Aiuto”).
Gli attacchi ClickFix sono diventati una tattica sempre più comune utilizzata per la distribuzione del malware. Gli attori delle minacce impiegano questi attacchi in vari scenari, tra cui video di Tiktok, captcha mascherati e come pretese correzioni per falsi errori di Google. L’efficacia di questa tattica ha portato alla sua adozione negli attacchi ransomware e dagli attori delle minacce sponsorizzate dallo stato.
