「Shamos」という名前の新しいInfostealerマルウェアは、ガイドとソフトウェアの修正をトラブルシューティングする誤った「Clickfix」攻撃を通じてMacデバイスを積極的にターゲットにしています。アトミックマコススティーラー(AMOS)のバリアントとして識別されるこのマルウェアは、「Cookie Spider」として知られるサイバー犯罪グループによって開発されました。 Shamosは、Webブラウザー、キーチェーンアイテム、Appleノート、暗号通貨ウォレットに保存されている機密データと資格情報を盗むように設計されています。
CrowdStrikeはShamosを検出し、2025年6月からグローバルに監視する300を超える環境で感染を試みました。マルウェアはClickfix攻撃を通じて普及しています。
これらの攻撃は、ソフトウェアのインストールや架空のエラーの解決を装ってコマンドを実行するように促すことにより、被害者を誘います。ただし、これらのコマンドを実行すると、ターゲットデバイス上のShamosのダウンロードと実行が行われます。 「Mac-Safer[.]com」と「救助-mac[.]com、「一般的なmacosの問題に対するソリューションを提供し、ユーザーがコピーして貼り付けされたコマンドをコピーして貼り付けて、問題を修正するとされるコマンドを貼り付けると主張しています。
真の修正を提供する代わりに、コマンドはbase64でエンコードされたURLをデコードし、リモートサーバーから悪意のあるbashスクリプトを取得します。このスクリプトは、ユーザーのパスワードをキャプチャし、Shamos Mach-O実行可能ファイルをダウンロードし、「Xattr」(隔離フラグを削除するため)と「Chmod」(バイナリ実行可能ファイルを作成するため)を使用してマルウェアを準備および実行し、ゲートキーパーセキュリティ対策を効果的にバイパスします。
実行されると、ShamosはSandbox環境を検出するためにAnti-VMコマンドを開始し、ホスト偵察とデータ収集にApplescriptコマンドを使用します。マルウェアは、暗号通貨ウォレットファイル、キーチェーンデータ、Appleノートデータ、ブラウザが保存した情報を検索します。
データを収集した後、Shamosはそれを「Out.Zip」という名前のアーカイブにパッケージ化し、Curlを使用して攻撃者に送信します。 ShamosがSudo特権で実行された場合、Plistファイル(com.finder.helper.plist)を作成し、ユーザーのLaunchDaemonsディレクトリに保存して、システムの起動時の自動実行を通じて永続性を確保します。
CrowdStrikeはまた、Shamosがスプーフィングされた元帳ライブウォレットアプリやボットネットモジュールなど、追加のペイロードを被害者のホームディレクトリにダウンロードできることを観察しました。
MacOSユーザーは、機能を完全に理解していない限り、オンラインで見つかったコマンドの実行に対して強くお勧めします。同様に、GitHubリポジトリでは注意を払う必要があります。これは、疑いを持たないユーザーに感染することを目指して、悪意のあるプロジェクトがそこでホストされることが多いためです。 MACOSの問題に遭遇する場合、ユーザーはスポンサー付きの検索結果を避け、代わりに公式のAppleコミュニティフォーラムまたはシステムの組み込みヘルプ機能から支援を求める必要があります。
Clickfix攻撃は、マルウェアの分布でますます一般的になっており、Tiktokのビデオで脅威のアクターがそれらを採用したり、Captchasに偽装したり、偽のGoogle Meetエラーの修正を装ったりしています。この戦術は非常に効果的であることが証明されており、ランサムウェア攻撃と国が後援する脅威俳優によって利用されています。
