Новый инфостилер Shamos атакует пользователей macOS через поддельные фиксы
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Новый инфостилер Shamos атакует пользователей macOS через поддельные фиксы

Екатерина Быстрова 25 Августа 2025 - 09:14
...
Новый инфостилер Shamos атакует пользователей macOS через поддельные фиксы

Исследователи из CrowdStrike зафиксировали новый зловред для macOS под названием Shamos. Его авторы — группировка COOKIE SPIDER, известная по разработке варианта Atomic macOS Stealer (AMOS). Главная цель — красть данные из браузеров, связки ключей, заметок Apple и криптокошельков.

С конца июня 2025 года Shamos уже пытался заразить более трёхсот организаций по всему миру.

Злоумышленники используют тактику ClickFix. Жертву заманивают через рекламу или фейковые репозитории на GitHub, обещая инструкции по решению популярных проблем macOS — например, со сбоями принтера или безопасностью системы.

На сайтах с адресами вроде mac-safer[.]com или rescue-mac[.]com публикуются «гайды», где пользователю предлагают скопировать команду в терминал.

 

Вместо исправления ошибки эта команда расшифровывает ссылку, подтягивает Bash-скрипт с сервера и запускает Shamos. Скрипт собирает пароль жертвы, снимает карантинный флаг с бинарника через xattr, делает его исполняемым через chmod и тем самым обходит Gatekeeper.

После запуска Shamos проверяет, не работает ли он в песочнице, собирает сведения о системе через AppleScript, ищет файлы криптокошельков, данные Keychain, заметки и информацию из браузеров. Всё это упаковывается в архив out.zip и отправляется на сервер злоумышленников.

Если вредонос запускается с правами sudo, он прописывает себя в LaunchDaemons через файл com.finder.helper.plist и получает автозапуск при старте системы. Кроме того, фиксировались случаи, когда Shamos скачивал дополнительные полезные нагрузки — от поддельного приложения Ledger Live до модулей для ботнета.

ClickFix-атаки становятся всё популярнее: их используют в поддельных капчах, в роликах на TikTok и даже для внедрения программ-вымогателей. Техника настолько эффективна, что к ней прибегают и киберпреступники, и APT-группы.

Как защититься? Эксперты советуют:

  • никогда не копируйте команды в терминал, если не понимаете, что они делают;
  • осторожно относитесь к проектам на GitHub — злоумышленники активно используют платформу для распространения вредоносов;
  • при проблемах с macOS ищите помощь в официальных форумах Apple или встроенной справке, а не в рекламных ссылках из Google.
Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Следствие не заключило соглашение с фигурантом дела о хищении у Ростелекома
Екатерина Быстрова 01 Ноября 2025 - 08:54
Соответствие законодательству РФ КорпорацииГосударство Ростелеком
Следствие не заключило соглашение с фигурантом дела о хищении у Ростелекома

Следствие не стало заключать досудебное соглашение с генеральным директором компании «Комплаинс Софт» Антоном Менчицем, который проходит по делу о хищении более 180 миллионов рублей при закупке программного обеспечения для «Ростелекома».

Об этом сообщает РИА Новости со ссылкой на источник, знакомый с ходом расследования.

По словам собеседника агентства, следствие не заинтересовано в соглашении, так как Менчиц «не обладает данными, которые могли бы его заинтересовать». Проект досудебного соглашения ранее рассматривала Генеральная прокуратура.

Менчиц признал вину, раскаялся, дал показания против себя и других участников, а также заявил о готовности возместить ущерб. По данным источника, он также оказывает благотворительную помощь участникам СВО.

Вместе с Менчицем фигурантом дела проходит директор департамента мониторинга и реагирования на киберугрозы Центра кибербезопасности «Ростелекома» Владимир Шадрин. Дело расследует ГСУ Следственного комитета России.

Обоим предъявлено обвинение в мошенничестве в особо крупном размере. Следствие считает, что при закупке лицензий на программное обеспечение IBM QRadar, предназначенное для киберзащиты и отражения атак, было похищено свыше 180 миллионов рублей.

По версии следствия, Менчиц организовал преступление, завысив стоимость лицензий, а Шадрин, по данным следователей, содействовал закупке. Сам Шадрин вину не признаёт.

Если вина будет доказана, фигурантам грозит до 10 лет лишения свободы.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Indeed PAM стал совместим с РЕД ОС для контроля привилегированного доступа
Новость
Indeed PAM стал совместим с РЕД ОС для контроля привилегиров...
Мошенники воруют данные через поддельные WhatsApp-чаты для пенсионеров
Новость
Мошенники воруют данные через поддельные WhatsApp-чаты для п...
В InfoWatch ARMA Management Console 2.0 улучшили работу с NGFW
Новость
В InfoWatch ARMA Management Console 2.0 улучшили работу с NG...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.