一款名为" Shamos "的新型信息窃取恶意软件正针对 Mac 设备发起攻击,它借助" ClickFix 攻击"(伪装成故障排除指南及修复方案)实施行动。
该恶意软件是" Atomic macOS Stealer(AMOS,原子 macOS 窃取者)"的变种,由网络犯罪团伙" COOKIE SPIDER "开发,用于窃取存储在网页浏览器、钥匙串项目、苹果备忘录以及加密货币钱包中的数据和凭证。
发现 Shamos 的 CrowdStrike 公司报告称,自 2025 年 6 月以来,该恶意软件已尝试对其监控的全球超 300 个环境发起感染。
借助 ClickFix 攻击进行传播
受害者会被恶意广告或伪造的 GitHub 仓库引诱——这些渠道利用 ClickFix 攻击,诱导用户在 macOS 终端中执行 shell 命令。
威胁者会催促用户运行这些命令以"安装软件"或"修复虚假错误",但命令一旦执行,实际上会在设备上下载并运行恶意软件。
恶意 GitHub 存储库
相关广告或伪造页面(如 mac-safer [ . ] com、rescue-mac [ . ] com)声称能解决用户可能搜索的 macOS 相关问题,其中包含让用户复制粘贴命令以"修复问题"的指示。
谷歌搜索上的恶意赞助结果
然而,这些命令并不会解决任何问题,反而会解码一个 Base64 编码的 URL,并从远程服务器获取恶意的 Bash 脚本。
在 macOS 上修复打印机问题的错误说明
该脚本会获取用户密码,下载 Shamos 的 mach-O 可执行文件,还会利用" xattr "(移除隔离标记)和" chmod "(赋予二进制文件可执行权限)来绕过 Gatekeeper,进而准备并执行恶意软件。
Shamos 的数据窃取行为
Shamos 在设备上执行后,会先运行反虚拟机命令,确认自身并非在沙箱中运行,随后通过 AppleScript 命令进行主机侦察和数据收集。
它会在设备上搜索敏感数据,包括加密货币钱包文件、钥匙串数据、苹果备忘录数据以及受害者浏览器中存储的信息。
收集完所有数据后,它会将这些数据打包成名为" out.zip "的压缩包,再通过 curl 传输给攻击者。
若该恶意软件以 sudo 权限运行,还会创建一个 Plist 文件(com.finder.helper.plist),并将其存储在用户的 LaunchDaemons 目录中,通过系统启动时自动执行来确保持久化驻留。
CrowdStrike 还指出,Shamos 能够将额外的载荷下载到受害者的主目录中,且已观察到威胁者投放伪造的 Ledger Live 钱包应用程序和僵尸网络模块的情况。
给 macOS 用户的建议
建议 macOS 用户,若不完全清楚命令,切勿在自己的系统上执行。对于 GitHub 仓库也应如此。该平台上存在众多恶意项目,其目的就是感染毫无防备的用户。
当 macOS 出现问题时,应避免点击赞助搜索结果,而是到由苹果审核的苹果社区论坛,或通过系统内置的"帮助"功能(按下 Cmd + Space,输入" Help ")寻求帮助。
ClickFix 攻击已成为一种广泛用于传播恶意软件的策略,威胁者会在 TikTok 视频中使用该策略,或将其伪装成验证码,亦或是作为"修复"虚假 Google Meet 错误的方案。
事实证明,这种策略在恶意软件部署方面极为有效,已被用于勒索软件攻击。