Voleur de Shamos

Par Mezo en Logiciels malveillants mobiles, Les voleurs

Se traduisent par :

Shamos est un malware macOS récemment identifié, spécialement conçu pour compromettre les appareils macOS. Actif depuis au moins l'été 2025, ce malware est exploité sous forme de service (MaaS) par un groupe connu sous le nom de COOKIE SPIDER. Son principal vecteur de propagation est l'arnaque ClickFix, une technique de plus en plus répandue chez les cybercriminels ciblant les utilisateurs de macOS. Shamos a été identifié comme une variante de la menace mobile AMOS (Atomic) Stealer .

Table des matières

Voie d’infection initiale

Shamos infiltre principalement les systèmes via des arnaques ClickFix, qui incitent les utilisateurs à copier-coller des commandes malveillantes dans le terminal. Cette action déclenche le téléchargement d'un script Bash qui contourne les contrôles Gatekeeper, vole les identifiants de connexion et déploie un fichier Mach-O contenant Shamos. En exploitant la confiance des utilisateurs dans les conseils de dépannage, cette méthode augmente considérablement les taux d'infection.

Furtivité et collecte de données

Une fois exécuté, Shamos utilise des mécanismes anti-analyse pour détecter s'il s'exécute dans une machine virtuelle ou un environnement sandbox. S'il détermine que l'environnement est authentique, il commence une collecte de données approfondie. Le malware traque les fichiers liés aux mots de passe, aux portefeuilles de cryptomonnaies et aux données système sensibles.

Les principaux domaines d’intérêt comprennent :

Trousseau d'accès : utilitaire de stockage de mots de passe natif d'Apple.

Application Notes : Souvent utilisée à mauvais escient par les utilisateurs pour stocker des informations privées.

Navigateurs Web : une source riche d'historiques de navigation, de cookies, d'entrées de remplissage automatique, d'informations d'identification stockées et de détails de paiement.

Au-delà du vol de données

Shamos ne se limite pas à la collecte d'identifiants. Il a été observé en train de télécharger des charges utiles supplémentaires, notamment :

Un module botnet pour l'exploitation de réseaux à grande échelle.
Une fausse application de portefeuille Ledger Live, conçue pour tromper les utilisateurs de crypto-monnaie.

De telles capacités font de Shamos une passerelle vers des infections plus larges, notamment des ransomwares, des chevaux de Troie, des cryptomineurs et d’autres menaces à fort impact.

Ciblage géographique et exclusions

Les campagnes de distribution de Shamos ont principalement ciblé des utilisateurs aux États-Unis, au Royaume-Uni, au Canada, en Chine, en Colombie, en Italie, au Japon et au Mexique. La Russie est une exception notable, ce qui correspond à la pratique courante des opérateurs MaaS basés en Russie, qui évitent les cibles locales.

Escroqueries ClickFix en action

La pierre angulaire des campagnes Shamos repose sur le malvertising et l'empoisonnement SEO, qui redirigent les victimes vers des sites web frauduleux se faisant passer pour des pages d'assistance Mac légitimes. Ces sites web utilisent une image de marque authentique pour instaurer la confiance avant de demander aux utilisateurs d'exécuter des commandes malveillantes.

De plus, les cybercriminels ont utilisé des référentiels GitHub trompeurs, proposant des téléchargements gratuits d'outils Mac populaires tels que iTerm2, des logiciels de CAO, des éditeurs vidéo, des outils d'IA et des programmes d'optimisation.

Autres méthodes de distribution possibles

Bien que les escroqueries ClickFix restent le principal mécanisme de diffusion, Shamos pourrait également se propager via des techniques de distribution de logiciels malveillants plus traditionnelles, notamment :

Hameçonnage et ingénierie sociale : liens ou pièces jointes malveillants via e-mail, messages privés ou messages directs.

Téléchargements drive-by et malvertising : charges utiles cachées sur des sites compromis ou malveillants.

Canaux de distribution suspects : logiciels piratés, cracks, logiciels gratuits tiers et réseaux P2P.

Fausses mises à jour : messages trompeurs incitant les utilisateurs à installer de fausses mises à jour de sécurité ou de système.

Auto-prolifération : certaines variantes de logiciels malveillants se propagent de manière autonome via des réseaux locaux ou des lecteurs externes.

L’essentiel

La présence de Shamos sur un système peut entraîner de graves atteintes à la vie privée, des vols d'identité, des pertes financières et de multiples infections par le biais d'attaques en chaîne. Son modèle MaaS garantit son accessibilité, même aux acteurs malveillants peu qualifiés, ce qui en fait un danger persistant pour les utilisateurs de macOS du monde entier.

Le dépôt de bilan de Digital River GmbH, le processeur de paiement d'EnigmaSoft, n'a pas d'impact sur la protection anti-malware des clients de SpyHunter

Rechercher

Changer de région

Voleur de Shamos

Voie d’infection initiale

Furtivité et collecte de données

Au-delà du vol de données

Ciblage géographique et exclusions

Escroqueries ClickFix en action

Autres méthodes de distribution possibles

L’essentiel

Soumettre un Commentaire

Tendance

Hexa Desk Ads

NIX Player

Fruitfly

Le plus regardé

Comment corriger l'erreur « Le pilote d'imprimante...

Discord affiche un écran noir lors du partage d'écran

Discord est bloqué sur un écran gris