‘Shamos’ adı verilen Mac cihazlarını hedefleyen yeni bir Infostealer kötü amaçlı yazılım, Mac cihazlarını sorun giderme kılavuzlarını ve düzeltmelerini taklit eden ClickFix saldırılarında hedefliyor.
Atomik MacOS Stealer’ın (AMOS) bir çeşidi olan yeni kötü amaçlı yazılım, siber suçlu grup “Cookie Spider” tarafından geliştirilmiştir ve web tarayıcılarında, anahtarlık öğelerinde, elma notları ve kripto para cüzdanlarında depolanan veri ve kimlik bilgilerini çalmak için kullanılır.
Shamos tespit eden Crowdstrike, kötü amaçlı yazılımın, 2025 Haziran’dan bu yana izledikleri dünya çapında üç yüzden fazla ortama karşı enfeksiyon girişiminde bulunduğunu bildirdi.
ClickFix saldırıları yoluyla tanıtıldı
Mağdurlar, kullanıcıları macOS terminalinde kabuk komutlarını yürütmeye yönlendiren tıklama fix saldırılarını kullanan kötü niyetli veya sahte GitHub depoları yoluyla çekilir.
Tehdit oyuncusu kullanıcıları yazılım yüklemek veya sahte hataları düzeltmek için bu komutları çalıştırmaya teşvik eder, ancak yürütüldüğünde, aslında cihazdaki kötü amaçlı yazılımları indirir ve yürütürler.
Kaynak: Crowdstrike
Reklamlar veya Sahtekâr Sayfalar (Mac-Safer[.]com, kurtarma-mac[.]com) MacOS sorunları hakkında yardım sağladığını iddia edin, insanların arayabileceği, sorunu çözme komutunu kopyalamaya ve yapıştırmaya yönlendiren talimatlar içeren.
Kaynak: Crowdstrike
Komut, herhangi bir şeyi düzeltmek yerine, baz64 kodlu bir URL’yi çözer ve uzak bir sunucudan kötü amaçlı bir Bash komut dosyası getirir.
Kaynak: Crowdstrike
Komut dosyası kullanıcının şifresini yakalar, Shamos Mach-O yürütülebilir dosyasını indirir ve kötü amaçlı yazılımları ‘XATTR’ (karantina bayrağını kaldırır) ve ‘chmod’ (ikili yürütülebilir hale getirir) kullanarak geçer yazma aracısı atlamak için hazırlar ve yürütür.
Shamos veri hırsızlığı
Cihazda yürütüldükten sonra Shamos, bir kum havuzunda çalışmadığını doğrulamak için VM anti-VM komutlarını yürütür, ardından ana bilgisayar keşif ve veri toplama için elma komutları.
Shamos, kripto para birimi cüzdan dosyaları, anahtarlık verileri, Apple notları verileri ve kurbanın tarayıcısında depolanan bilgiler dahil olmak üzere cihazda hassas veriler arar.
Her şeyi topladıktan sonra, onları ‘out.zip’ adlı bir arşive paketler ve curl kullanarak saldırgana iletir.
Kötü amaçlı yazılımın sudo ayrıcalıklarıyla çalıştığı durumlarda, aynı zamanda bir PLIST dosya (com.finder.helper.plist) oluşturur ve Sistem Startup’ta otomatik yürütme yoluyla kalıcılık sağlayarak kullanıcının LaunchDaemons dizininde saklar.
Crowdstrike ayrıca Shamos’un kurbanın ev dizinine ek yükler indirebileceğini ve tehdit aktörlerinin sahte bir defter canlı cüzdan uygulaması ve bir botnet modülü bıraktığı durumları gözlemlediğini belirtiyor.
MacOS kullanıcılarına, ne yaptıklarını tam olarak anlamadıkları takdirde çevrimiçi buldukları sistemlerinde asla komutlar yürütmeleri tavsiye edilir.
Aynı şey GitHub depoları için de geçerlidir, çünkü platform maalesef şüphesiz kullanıcıları enfekte etmeyi amaçlayan çok sayıda kötü niyetli projeye ev sahipliği yapar.
MacOS ile ilgili sorunlarla karşılaştığında, sponsorlu arama sonuçlarından kaçınmanız ve bunun yerine Apple tarafından yönetilen Apple Topluluğu forumlarında veya sistemin yerleşik yardımında (CMD + Space → “Yardım”) yardım almanız daha iyidir.
ClickFix saldırıları, kötü amaçlı yazılımların dağıtılmasında yaygın bir taktik haline geldi, tehdit aktörleri Tiktok videolarında kullanıyor, captchas olarak gizliyor veya sahte Google karşılama hataları için düzeltmeler olarak.
Bu taktiğin, fidye yazılımı saldırılarında ve hatta devlet destekli tehdit aktörleri tarafından kullanıldığı kötü amaçlı yazılımların dağıtılmasında o kadar etkili olduğu kanıtlanmıştır.
Ortamların% 46’sı şifreleri çatladı, geçen yıl neredeyse% 25’ten iki katına çıktı.
Önleme, algılama ve veri açığa çıkma eğilimleri hakkında daha fazla bulgua kapsamlı bir bakış için Picus Blue Report 2025’i şimdi alın.