Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Mobile Malware Shamos-Dieb

Shamos-Dieb

Von Mezo in Mobile Malware, Diebe
Übersetzen Sie in:

Shamos ist eine kürzlich identifizierte macOS-Malware, die speziell für die Kompromittierung von macOS-Geräten entwickelt wurde. Diese Malware ist seit mindestens Sommer 2025 aktiv und wird von einer Gruppe namens COOKIE SPIDER als Malware-as-a-Service (MaaS)-Angebot betrieben. Ihr primärer Verbreitungsvektor sind ClickFix-Betrugsmaschen, eine bei Cyberkriminellen, die es auf macOS-Nutzer abgesehen haben, zunehmend beliebte Technik. Shamos wurde als Variante der mobilen Bedrohung AMOS (Atomic) Stealer identifiziert.

Anfänglicher Infektionsweg

Shamos infiltriert Systeme hauptsächlich über ClickFix-Betrugsmaschen, bei denen Benutzer dazu verleitet werden, schädliche Befehle in das Terminal zu kopieren und einzufügen. Dadurch wird der Download eines Bash-Skripts ausgelöst, das Gatekeeper-Prüfungen umgeht, Anmeldedaten stiehlt und schließlich eine Mach-O-Datei mit Shamos bereitstellt. Durch die Ausnutzung des Vertrauens der Benutzer in die Hinweise zur Fehlerbehebung erhöht diese Methode die Infektionsrate erheblich.

Tarnung und Datenerhebung

Nach der Ausführung nutzt Shamos Anti-Analyse-Mechanismen, um zu erkennen, ob es in einer virtuellen Maschine oder einer Sandbox ausgeführt wird. Stellt es fest, dass die Umgebung echt ist, beginnt es mit der umfangreichen Datenerfassung. Die Malware sucht nach Dateien, die mit Passwörtern, Kryptowährungs-Wallets und sensiblen Systemdaten verknüpft sind.

Zu den wichtigsten Interessensgebieten gehören:

Schlüsselbundzugriff : Das native Dienstprogramm von Apple zur Passwortspeicherung.

Notizen-App : Wird von Benutzern häufig zum Speichern privater Daten missbraucht.

Webbrowser : Eine reichhaltige Quelle für Browserverläufe, Cookies, AutoFill-Einträge, gespeicherte Anmeldeinformationen und Zahlungsdetails.

Mehr als nur Datendiebstahl

Shamos beschränkt sich nicht nur auf das Sammeln von Anmeldeinformationen. Es wurde beobachtet, dass weitere Schadsoftware heruntergeladen wird, darunter:

  • Ein Botnet-Modul zur groß angelegten Netzwerkausnutzung.
  • Eine gefälschte Ledger Live Wallet-App, die entwickelt wurde, um Benutzer von Kryptowährungen auszutricksen.

Solche Fähigkeiten machen Shamos zu einem Einfallstor für umfassendere Infektionen, darunter Ransomware, Trojaner, Kryptominer und andere schwerwiegende Bedrohungen.

Geografisches Targeting und Ausschlüsse

Kampagnen zur Verbreitung von Shamos richteten sich hauptsächlich an Nutzer in den USA, Großbritannien, Kanada, China, Kolumbien, Italien, Japan und Mexiko. Russland wurde dabei ausgenommen, was der gängigen Praxis russischer MaaS-Betreiber entspricht, lokale Ziele zu meiden.

ClickFix-Betrug in Aktion

Der Grundstein der Shamos-Kampagnen liegt in Malvertising und SEO-Poisoning. Die Opfer werden auf betrügerische Websites geleitet, die als legitime Mac-Supportseiten getarnt sind. Diese Websites nutzen authentisches Branding, um Vertrauen aufzubauen, bevor sie Benutzer zur Ausführung schädlicher Befehle auffordern.

Darüber hinaus haben Cyberkriminelle betrügerische GitHub-Repositories verwendet und kostenlose Downloads für beliebte Mac-Tools wie iTerm2, CAD-Software, Video-Editoren, KI-Tools und Optimierungsprogramme angeboten.

Andere mögliche Verteilungsmethoden

Während ClickFix-Betrug weiterhin der primäre Verbreitungsmechanismus ist, könnte Shamos auch über traditionellere Techniken zur Verbreitung von Malware verbreitet werden, darunter:

Phishing und Social Engineering : Bösartige Links oder Anhänge per E-Mail, private Nachrichten oder Direktnachrichten.

Drive-By-Downloads und Malvertising : Versteckte Nutzdaten auf kompromittierten oder bösartigen Websites.

Verdächtige Vertriebskanäle : Raubkopien, Cracks, Freeware von Drittanbietern und P2P-Netzwerke.

Gefälschte Updates : Irreführende Aufforderungen, gefälschte Sicherheits- oder Systemupdates zu installieren.

Selbstverbreitung : Einige Malware-Varianten verbreiten sich autonom über lokale Netzwerke oder externe Laufwerke.

Das Fazit

Die Präsenz von Shamos auf einem System kann zu schwerwiegenden Eingriffen in die Privatsphäre, Identitätsdiebstahl, finanziellen Verlusten und Mehrfachinfektionen durch Kettenangriffe führen. Das MaaS-Modell stellt sicher, dass Shamos auch für weniger erfahrene Bedrohungsakteure zugänglich bleibt, was es zu einer ständigen Gefahr für macOS-Benutzer weltweit macht.

Im Trend

Am häufigsten gesehen

Wird geladen...