‘Shamos’라는 새로운 Infostealer 맬웨어는 문제 해결 가이드 및 소프트웨어 수정을 모방하는기만적인 “ClickFix”공격을 통해 Mac 장치를 적극적으로 타겟팅하고 있습니다. AMOS (Atomic MacOS Stealer)의 변형으로 식별 된이 맬웨어는“Cookie Spider”로 알려진 사이버 범죄 그룹에 의해 개발되었습니다. Shamos는 웹 브라우저, 키 체인 항목, Apple Notes 및 Cryptocurrency 지갑 내에 저장된 민감한 데이터 및 자격 증명을 훔치도록 설계되었습니다.
CrowdStrike는 Shamos를 감지했으며 2025 년 6 월부터 전 세계적으로 모니터링 된 300 개 이상의 환경에서 감염을 시도했습니다. 맬웨어는 클릭 픽스 공격을 통해 전파되며, 종종 MACOS 터미널 내에서 쉘 명령을 실행하도록하는 Malvertising 또는 Fake GitHub 리포지토리가 포함됩니다.
이러한 공격은 소프트웨어를 설치하거나 가상의 오류를 해결하기 위해 명령을 실행하도록 피해자를 유혹합니다. 그러나 이러한 명령을 실행하면 대상 장치에서 Shamos의 다운로드 및 실행이 발생합니다. “Mac-Safer”와 같은기만 광고 또는 스푸핑 된 페이지[.]com”및“구조 Mac[.]com,””일반적인 MACOS 문제에 대한 솔루션을 제공한다고 주장하며, 사용자에게 제공된 명령을 복사하고 붙여 넣어야합니다.
명령은 진정한 수정을 제공하는 대신 Base64에 인코딩 된 URL을 디코딩하고 원격 서버에서 악의적 인 Bash 스크립트를 가져옵니다. 이 스크립트는 사용자의 암호를 캡처하고 Shamos Mach-O 실행 파일을 다운로드하며 ‘XATTR'(검역소 플래그를 제거하기 위해) 및 ‘chmod'(이진 실행 가능을 만들기 위해)를 사용하여 맬웨어를 준비하고 실행하여 게이트 키퍼 보안 조치를 효과적으로 우회합니다.
Shamos는 일단 실행되면 Shamos는 샌드 박스 환경을 감지하기 위해 Anti-VM 명령을 시작한 다음 호스트 정찰 및 데이터 수집에 사과 스크립트 명령을 사용합니다. 맬웨어는 cryptocurrency 지갑 파일, 키 체인 데이터, Apple Notes 데이터 및 브라우저 저장 정보를 검색합니다.
Shamos는 데이터를 수집 한 후 ‘out.zip’이라는 아카이브로 패키지하고 컬을 사용하여 공격자에게 전송합니다. Shamos가 Sudo 권한으로 실행되면 Plist 파일 (com.finder.helper.plist)을 생성하고 시스템 시작시 자동 실행을 통해 지속성을 보장하기 위해 사용자의 Launchdaemons 디렉토리에 저장합니다.
CrowdStrike는 또한 Shamos가 스푸핑 원장 라이브 월렛 앱 및 봇넷 모듈을 포함하여 희생자의 홈 디렉토리에 추가 페이로드를 다운로드 할 수 있음을 관찰했습니다.
MACOS 사용자는 기능을 완전히 이해하지 않는 한 온라인으로 찾은 명령을 실행하는 것에 대해 강력히 권고됩니다. 마찬가지로, 의심의 여지가없는 사용자를 감염시키기 위해 악의적 인 프로젝트가 종종 호스팅되므로 Github 리포지토리와 함께주의를 기울여야합니다. MACOS와 관련된 문제가 발생할 때 사용자는 스폰서 검색 결과를 피하고 대신 공식 Apple 커뮤니티 포럼 또는 시스템의 내장 도움말 기능의 지원을 구해야합니다.
ClickFix 공격은 악성 코드 분포에 점점 더 널리 퍼지고 있으며, 위협 행위자는 Tiktok 비디오에서이를 고용하거나, 캡처로 위장하거나, 가짜 Google이 오류에 대한 수정으로 포즈를 취하고 있습니다. 이 전술은 매우 효과적인 것으로 입증되었으며 랜섬웨어 공격과 국가가 후원하는 위협 행위자에 의해 활용되었습니다.
