Um novo malware InfoStealer, apelidado de ‘Shamos’, está visando ativamente dispositivos Mac por meio de ataques enganosos de clickfix. Esses ataques se disfarçam de guias legítimos de solução de problemas e supostos correções do sistema, enganando os usuários para instalar sem saber o software malicioso.
Shamos, identificado como uma variante do ladrão de macos atômicos (AMOS), teria sido desenvolvido pelo grupo cibercriminal conhecido como “Spider de biscoito”. A principal função de Shamos é pisar dados e credenciais sensíveis armazenados em vários aplicativos e serviços no dispositivo Mac comprometido. Isso inclui informações de navegadores da Web, acesso de chaveiro, notas da Apple e carteiras de criptomoeda.
Crowdstrike, uma empresa de segurança cibernética, detectado O malware Shamos e relataram que as tentativas de infecção foram identificadas em mais de 300 ambientes globalmente sob seu monitoramento desde junho de 2025. Isso indica uma campanha generalizada e em andamento direcionada aos usuários de Mac.
O malware é propagado por meio de ataques de clickfix, que são entregues via malvertising ou por repositórios enganosos do GitHub. Esses ataques manipulam os usuários na execução de comandos do shell específicos no aplicativo MacOS Terminal. As vítimas são frequentemente apresentadas com avisos pedindo que eles executem esses comandos sob o pretexto de instalar software ou resolver erros fabricados. No entanto, a execução desses comandos inicia o download e a instalação do malware shamos no sistema.
Anúncios e páginas da web falsificadas, como Mac-Safer[.]com e resgate-MAC[.]com, são usados para atrair vítimas em potencial. Essas páginas geralmente afirmam fornecer assistência com problemas comuns do macOS que os usuários provavelmente pesquisarão on -line. As páginas contêm instruções que direcionam os usuários a copiar e colar comandos no terminal para supostamente corrigir o problema identificado. Sem o conhecimento do usuário, esses comandos não corrigem nenhum problema, mas iniciam o processo de infecção por malware.
O comando malicioso, quando executado, passa a decodificar um URL codificado por Base64 e recupera um script de bash malicioso de um servidor remoto. Este script captura a senha do usuário e baixa o executável shamos mach-o. O script prepara e executa ainda o malware, utilizando ‘xattr’ para remover a bandeira de quarentena e ‘chmod’ para fazer o executável binário, ignorando efetivamente o recurso de segurança do gatekeeper da Apple.
Depois que o Shamos é executado em um dispositivo, ele executa comandos anti-VM para determinar se está em execução em um ambiente de caixa de areia. Depois disso, os comandos AppleScript são executados para reconhecimento de host e coleta de dados. Shamos então procura tipos especificados de dados confidenciais armazenados no dispositivo, incluindo arquivos de carteira de criptomoeda, dados de chaveiro, dados de notas da Apple e informações armazenadas nos navegadores da web da vítima.
Após a conclusão do processo de coleta de dados, o Shamos empacota as informações coletadas em um arquivo de arquivo chamado ‘out.zip’ e transmite esse arquivo ao atacante usando o comando ‘Curl’. Nos casos em que o malware é executado com privilégios de sudo (superusuário), o Shamos cria um arquivo de plista chamado ‘com.finder.helper.plist’ e o armazena no diretório Launchdaemons do usuário. Isso garante a persistência através da execução automática quando o sistema é iniciado.
A análise de Crowdstrike também revelou que Shamos possui a capacidade de baixar cargas úteis adicionais no diretório doméstico da vítima. As instâncias foram observadas onde os atores de ameaças implantaram um aplicativo de carteira ao vivo de Ledger e um módulo de botnet.
Os usuários do MacOS são advertidos contra os comandos executados on -line se o objetivo e a funcionalidade dos comandos não forem totalmente compreendidos. A mesma cautela se aplica aos repositórios do GitHub, pois a plataforma é frequentemente explorada para hospedar projetos maliciosos projetados para infectar usuários desavisados. Ao encontrar problemas com o MacOS, é recomendável evitar os resultados de pesquisa patrocinados e, em vez disso, buscar assistência nos fóruns oficiais da comunidade da Apple, que são moderados pela Apple ou usando a função de ajuda interna do sistema (CMD + Space → “Ajuda”).
Os ataques de clickfix tornaram -se uma tática cada vez mais comum usada para distribuição de malware. Os atores de ameaças empregam esses ataques em vários cenários, incluindo vídeos de tiktok, captchas disfarçados e como suposto correções para erros falsos do Google. A eficácia dessa tática levou à sua adoção em ataques de ransomware e por atores de ameaças patrocinados pelo Estado.
