Código HTML do Conteúdo
Post: O New Shamos Malware tem como alvo macOS através de sites de ajuda falsa para roubar credenciais de login - Against Invaders - Notícias de CyberSecurity para humanos.
<div>
<div>
<p>Pesquisadores de segurança cibernética da CrowdStrike identificaram e frustraram uma sofisticada campanha de malware que implantou Shamos, uma variante avançada do malware atômico de moradia de macos (AMOS), orquestrado pela aranha de biscoitos do grupo cibercriminal.</p>
<p>Operando sob um modelo de malware como serviço, a Spider Spider aluga esse ladrão de informações para afiliados que têm como alvo as vítimas para coletar dados confidenciais, incluindo <a href="https://gbhackers.com/malicious-npm-packages-target-crypto-developers/" rel="noreferrer noopener" target="_blank">Credenciais de login</a>carteiras de criptomoeda e outras informações pessoais. </p>
<p>A campanha tentou comprometer mais de 300 ambientes de clientes, mas foi bloqueada com sucesso pela plataforma Crowdstrike Falcon, destacando a crescente ameaça de malware específico do MacOS no ecossistema Ecrime. </p>
<p>Esta operação se baseou em táticas de malvertismo, onde os sites de ajuda de MacOS fraudulentos foram promovidos nos resultados dos mecanismos de pesquisa, atraindo usuários que buscam soluções para problemas comuns, como lavar o cache do resolvedor. </p>
<h2 id="campaign-discovery-and-impact"><strong>Descoberta de campanha</strong></h2>
<p>Vítimas de países como Estados Unidos, Reino Unido, Japão, China, Colômbia, Canadá, México e Itália foram direcionados, com uma exclusão notável da Rússia e da Commonwealth of Independent States, alinhando -se com proibições nos fóruns russos de ecris contra o ataque doméstico.</p>
<p>O Malvertising instruiu os usuários a sites falsificados imitando páginas de suporte legítimas de macOS, como Mac-Safer[.]com e resgate-MAC[.]com, que forneceu instruções enganosas para executar um comando de instalação de uma linha malicioso no terminal. </p>
<p>Este comando, muitas vezes codificado por Base64, baixou um <a href="https://gbhackers.com/fog-ransomware-reveals-active-directory-exploitation/" rel="noreferrer noopener" target="_blank">Script Bash</a> Isso capturou a senha do usuário e buscou o executável Shamos Mach-O. </p>
<p>Ao explorar essa técnica, os atacantes ignoraram as verificações de segurança do MacOS Gatekeeper, permitindo a instalação direta do malware sem acionar proteções padrão. </p>
<p>Táticas semelhantes foram observadas em campanhas anteriores envolvendo ladrões de cuco e shamos, incluindo o Malvertising para Homebrew entre maio de 2024 e janeiro de 2025, bem como repositórios oportunistas do GitHub que posam como ferramentas gratuitas do MacOS, como editores de vídeo, software CAD e aplicativos de IA.</p>
<h2 id="technical-execution-and-persistence-mechanisms"><strong>Mecanismos de persistência</strong></h2>
<p>Após a execução, o malware shamos é baixado para o diretório / tmp /, onde remove atributos de arquivo estendidos usando o XATTR para evitar a detecção, atribui permissões executáveis ​​via CHMOD e executa verificações anti-VM para evitar ambientes de caixa de areia. </p>
<p>Em seguida, ele aproveita o AppleScript para reconhecimento, digitalizando arquivos de carteira de criptomoeda, dados de chaveiro, notas da Apple e credenciais do navegador. </p>
<p>Os dados coletados são arquivados em um arquivo zip nomeado.zip e exfiltrado via comandos CURL para servidores controlados por atacantes. </p>
<p>Outras cargas úteis, incluindo um aplicativo de carteira Live Ledger Ledger e um módulo de botnet, são implantadas como arquivos ocultos no diretório inicial do usuário. </p>
<p>Se houver privilégios de sudo, Shamos estabelecerá persistência criando um arquivo PLIST (com.finder.helper.plist) no diretório de lançamento, garantindo acesso a longo prazo. </p>
<p>Observações de Crowdstrike <a href="https://www.crowdstrike.com/en-us/blog/falcon-prevents-cookie-spider-shamos-delivery-macos/" rel="noreferrer noopener nofollow" target="_blank">observado</a> Múltiplas invocações de curl indicativas de atividade de botnet, ressaltando o design modular do malware para compromisso prolongado.</p>
<p>Os relatórios de código aberto corroboraram essas descobertas, detalhando uma campanha relacionada por meio de um repositório falso do GitHub imitando o ITERM2, um popular emulador de terminal do MacOS. </p>
<p>Este repositório instruiu os usuários a executar um comando de uma linha semelhante, buscando shamos de domínios como o Macostutorial[.]com, demonstrando a preferência dos atores por misturar engenharia social com evasão técnica.</p>
<p>Crowdstrike avalia com alta confiança de que os atores do ECRIME persistirão no uso de comandos de instalação de Malvertising e de uma linha para a distribuição de roubos de macos, dada sua eficácia comprovada em ignorar o gatekeeper e impulsionar o tráfego das vítimas. </p>
<p>O aprendizado de máquina e os indicadores de ataque da plataforma Falcon (IOAs) fornecem detecção em camadas, impedindo os estágios de download, execução e exfiltração. </p>
<p>Para proteção, os usuários devem permitir a prevenção suspeita de processos e a prevenção de ameaças de origem da inteligência nas políticas do Falcon Insight XDR. </p>
<p>Os caçadores de ameaças podem utilizar as consultas do SiEM da próxima geração do Falcon para detectar comportamentos de risco, como scripts de bash chamando DSCL, CURL, XATTR e CHMOD ou execuções de AppleScript de / tmp / binários.</p>
<h2 id="h-indicator-of-compromise-iocs"><strong>Indicador de compromisso (COI)</strong></h2>
<figure>
<table>
<thead>
<tr>
<th>Tipo de IOC</th>
<th>Descrição</th>
<th>Valor</th>
</tr>
</thead>
<tbody>
<tr>
<td>Sites de Malvertising</td>
<td>Sites contendo instruções para baixar Shamos</td>
<td>Mac-Safer[.]com<br />Resgate-Mac[.]com<br />https[:]// github[.]com/jeryrymoore/iterm2</td>
</tr>
<tr>
<td>Bash Script SHA256 Hashes</td>
<td>Hashes de scripts de festas maliciosas</td>
<td>231C4BF14C4145BE77AA4FEF36C208891D818983C520BA067DDA62D3BBBF547F<br />EB7ED285ABA687661AD13F22F8555AAB186DEBBADF2C116251CB269E913EF68</td>
</tr>
<tr>
<td>Hashes shamos mach-o sha256</td>
<td>Hashes of Shamos executáveis</td>
<td>4549E2599DE3011973FDE61052A55E5CDB770348876ABC82DE14C2D99575790F<br />B01C13969075974F555C8C88023F9ABF891F72865CE07EFBCEE6C2D906D410D5<br />A4E47FD76DC8ED8E147EA81765EDC32ED1E11CFF27D138266E3770C7CF953322<br />95B97A5DA68FCB73C98CD9311C56747545DB5260122DDF6FAE7B152D3D802877</td>
</tr>
<tr>
<td>URLs de host de scripts bash</td>
<td>URLs hospedando scripts de bash maliciosos</td>
<td>https[:]// iCloudServers[.]com/gm/install[.]sh<br />https[:]// Macostutorial[.]com/iterm2/install[.]sh</td>
</tr>
<tr>
<td>URLs de host shamos</td>
<td>URLs que hospedam cargas úteis de Shamos</td>
<td>https[:]// iCloudServers[.]com/gm/atualização<br />https[:]// Macostutorial[.]com/iterm2/atualização</td>
</tr>
</tbody>
</table>
</figure>
<p><strong>Encontre esta notícia interessante! Siga -nos<a href="https://news.google.com/publications/CAAqKAgKIiJDQklTRXdnTWFnOEtEV2RpYUdGamEyVnljeTVqYjIwb0FBUAE?hl=en-IN&gl=IN&ceid=IN%3Aen" rel="noreferrer noopener" target="_blank">Google News</a>Assim,<a href="https://www.linkedin.com/company/cyber-threat-intel/" rel="noreferrer noopener" target="_blank">LinkedIn</a>e<a href="https://x.com/The_Cyber_News" rel="noreferrer noopener" target="_blank">X</a>Para obter atualizações instantâneas!</strong></p>
</div></div>