Обзор новой угрозы: что такое Shamos и как он работает
В последнее время специалисты по кибербезопасности обнаружили новую вредоносную кампанию, нацеленную на владельцев Mac по всему миру. Этот опасный образец вредоносного ПО получил название Shamos — модификация ранее известного маковского крадца данных Atomic macOS Stealer (AMOS). За его созданием стоит хакерская группировка, именуемая COOKIE SPIDER.
Методика атаки основана на так называемых тактиках ClickFix: злоумышленники заманивают пользователей искать решения для устранения проблем с Mac на фальшивых сайтах или в репозиториях GitHub. Эти поддельные ресурсы притворяются надежными источниками, предлагая скопировать и вставить в терминал одну команду, якобы для исправления ошибки. На деле же эта команда незаметно скачивает Shamos, обходит защиту Gatekeeper macOS и запускает установку вредоносного ПО.
Что делает Shamos после проникновения в систему
После успешной установки Shamos начинает активный поиск конфиденциальных данных: заметок Apple Notes, элементов Keychain, паролей браузеров и даже криптовалютных кошельков. Весь собранный материал шифруется и отправляется злоумышленникам. Иногда вместе с этим вредоносное ПО загружает дополнительные модули — например, ботов для ботнетов или фальшивые приложения для хранения криптовалюты, такие как поддельные кошельки Ledger.
Как защититься и избежать заражения
Опасность поддельных «исправлений» и распространение фейковых сайтов
Мошенники используют такие методы распространения вредоносных программ, как «мальвертизации» — покупка рекламных объявлений и создание поддельных сайтов техподдержки под именами вроде mac-safer[.]com или rescue-mac[.]com. Эти ресурсы выглядят как официальные руководства по устранению распространенных ошибок Mac и появляются в результатах поиска по популярным запросам, например, «как очистить кеш разрешителя».
На таких сайтах пользователю предлагают скопировать команду для выполнения в терминале. В результате пользователь запускает вредоносный сценарий, который крадет пароли, снимает ограничения с файлов и запускает Shamos. Благодаря инструментам постоянной защиты вредоносное ПО может даже перезапускаться вместе с системой, оставаясь активным долгое время после первоначальной инфекции.
Проблема изменения тактики злоумышленников
Современные злоумышленники постоянно адаптируют свои методы, чтобы обходить защитные механизмы Apple. Особенно опасна тенденция к использованию автоматических рекламных объявлений, которые поднимают фальшивые сайты в поисковой выдаче. Поэтому важно не доверять первым ссылкам и проверять источники.
Как не стать жертвой Shamos и подобных угроз
Будьте осторожны с командами в терминале
Копирование команд для вставки в терминал кажется быстрым и простым способом решить проблему, однако именно это — один из самых распространенных способов обхода защиты Mac. Перед выполнением любой команды, найденной на сайте, форуме или в репозитории, убедитесь в ее безопасности. Лучше всего обратиться к официальной документации Apple или форумам поддержки, где опытные пользователи помогают с безопасным устранением неполадок.
Не доверяйте рекламным объявлениям и сомнительным сайтам
Злоумышленники активно покупают спонсируемую рекламу, чтобы продвинуть ложные сайты. Поэтому при поиске решений важно помнить: первые места в поиске не всегда безопасны. Лучше ориентироваться на проверенные ресурсы, такие как официальный сайт поддержки Apple и авторитетные форумы.
Проверяйте репозитории на GitHub
Github — отличный ресурс для разработчиков, но он также стал местом размещения вредоносных репозиториев, маскирующихся под легитимное программное обеспечение. Перед загрузкой любой программы или скрипта внимательно изучите имя автора, количество звезд и историю активности аккаунта. Если профиль выглядит подозрительно или недавно создан, лучше отказаться от загрузки.
Дополнительные меры защиты
- Регулярно обновляйте macOS для закрытия уязвимостей, используемых вредоносным ПО.
- Используйте антивирусные программы, которые способны обнаруживать вредоносные сценарии и блокировать подозрительную активность в реальном времени.
- Минимизируйте риск утечек личных данных, используя сервисы по удалению информации из баз данных брокеров данных и сайтов-агрегаторов.
Обратите внимание, что даже при высокой степени защиты, важно проявлять бдительность и не спешить выполнять команды или скачивать файлы без полного понимания их назначения.
Как укрепить безопасность вашего Mac
Чтобы снизить риск заражения, включайте автоматические обновления, избегайте сомнительных источников и проверяйте каждую команду перед выполнением. В случае сомнений лучше обратиться за помощью к специалистам или официальной поддержке Apple.
Что делать, если вы уже пострадали
Если есть подозрение, что ваш Mac был заражен, обратитесь к специалистам по кибербезопасности и выполните проверку системы. Также рекомендуется провести чистку личных данных и обновить пароли.
Артем Мельник
Артем — эксперт по ИТ и новым технологиям, освещает стартапы, кибербезопасность и разработки украинских программистов. Ранее работал в сфере разработки ПО.