Un nouveau logiciel malveillant d’infostealer, surnommé «Shamos», cible activement les appareils MAC via des attaques trompeuses de clics. Ces attaques se sont masquées comme des guides de dépannage légitimes et des correctifs de système prétendument, trompant les utilisateurs pour installer sans le savoir le logiciel malveillant.
Shamos, identifié comme une variante du voleur de macos atomique (AMOS), aurait été développé par le groupe cybercriminal connu sous le nom de «Cookie Spider». La fonction principale de Shamos est de piloter des données sensibles et des informations d’identification stockées dans diverses applications et services sur le périphérique MAC compromis. Cela comprend les informations des navigateurs Web, l’accès aux trousses, les notes Apple et les portefeuilles de crypto-monnaie.
Crowdsstrike, une entreprise de cybersécurité, détecté Les logiciels malveillants de Shamos et ont rapporté que les tentatives d’infection ont été identifiées dans plus de 300 environnements dans le monde sous leur surveillance depuis juin 2025. Cela indique une campagne généralisée et en cours ciblant les utilisateurs de Mac.
Le malware se propage via des attaques Clickfix, qui sont livrées via la malvertising ou via des référentiels de github trompeurs. Ces attaques manipulent les utilisateurs dans l’exécution de commandes de shell spécifiques dans l’application Terminal MacOS. Les victimes sont souvent présentées avec des invites les exhortant à exécuter ces commandes sous le couvert d’installation de logiciels ou de résoudre les erreurs fabriquées. Cependant, l’exécution de ces commandes initie le téléchargement et l’installation du logiciel malveillant Shamos sur le système.
Publicités et pages Web usurpées, telles que Mac-Safer[.]com et sauvetage-mac[.]com, sont utilisés pour attirer les victimes potentielles. Ces pages prétendent souvent fournir une assistance avec des problèmes de macOS communs que les utilisateurs sont susceptibles de rechercher en ligne. Les pages contiennent des instructions qui dirigent les utilisateurs de copier et coller des commandes dans le terminal pour résoudre ce problème identifié. À l’insu de l’utilisateur, ces commandes ne résolvent aucun problème mais lancent plutôt le processus d’infection des logiciels malveillants.
La commande malveillante, lorsqu’elle est exécutée, procède à décoder une URL codée de base64 et récupère un script bash malveillant à partir d’un serveur distant. Ce script capture le mot de passe de l’utilisateur et télécharge l’exécutable Shamos Mach-O. Le script prépare et exécute en outre le malware, en utilisant « XATTR » pour supprimer l’indicateur de quarantaine et «Chmod» pour rendre l’exécutable binaire, en contournant efficacement la fonction de sécurité Gatekeeper d’Apple.
Une fois que Shamos est exécuté sur un appareil, il effectue des commandes anti-VM pour déterminer si elle s’exécute dans un environnement de sable. Suite à cela, les commandes Applescript sont exécutées pour la reconnaissance d’hôte et la collecte de données. Shamos recherche ensuite les types spécifiés de données sensibles stockées sur l’appareil, y compris les fichiers de portefeuille de crypto-monnaie, les données de trousseau, les données Apple Notes et les informations stockées au sein des navigateurs Web de la victime.
Une fois le processus de collecte de données terminé, Shamos emballe les informations collectées dans un fichier d’archive nommé «Out.zip» et transmet cette archive à l’attaquant à l’aide de la commande «Curl». Dans les cas où les logiciels malveillants sont exécutés avec les privilèges sudo (superutilisateur), Shamos crée un fichier PLIST nommé ‘com.finder.helper.plist’ et le stocke dans le répertoire LaunchDaemons de l’utilisateur. Cela garantit la persistance par l’exécution automatique lorsque le système démarre.
L’analyse de Crowdstrike a également révélé que Shamos possède la capacité de télécharger des charges utiles supplémentaires sur le répertoire d’origine de la victime. Des instances ont été observées lorsque des acteurs de menace ont déployé une application de portefeuille Live Ledger usurpé et un module de botnet.
Les utilisateurs de MacOS sont mis en garde contre l’exécution des commandes trouvées en ligne si le but et les fonctionnalités des commandes ne sont pas entièrement compris. La même prudence s’applique aux référentiels GitHub, car la plate-forme est souvent exploitée pour héberger des projets malveillants conçus pour infecter les utilisateurs sans méfiance. Lorsque vous rencontrez des problèmes avec MacOS, il est recommandé d’éviter les résultats de recherche sponsorisés et de demander de l’aide via des forums officiels de la communauté Apple, qui sont modérés par Apple, ou en utilisant la fonction d’aide intégrée du système (espace CMD + → « Aide »).
Les attaques ClickFix sont devenues une tactique de plus en plus courante utilisée pour la distribution de logiciels malveillants. Les acteurs de la menace utilisent ces attaques dans divers scénarios, notamment des vidéos Tiktok, des captchas déguisés et comme des correctifs présumés pour les fausses erreurs de rencontre Google. L’efficacité de cette tactique a conduit à son adoption dans les attaques de ransomwares et par des acteurs de menace parrainés par l’État.
