Trükkös hirdetések és álhonlapok
A Shamos különféle online csalásokkal, főként hirdetéseken vagy hamis GitHub-oldalakon keresztül terjed. Az áldozatokat olyan oldalakra csábítják (például mac-safer.com vagy rescue-mac.com), ahol eredetinek tűnő macOS hibajavításokat és útmutatókat kínálnak. Ezek az oldalak azt javasolják, hogy egy bizonyos parancsot másoljanak be a Terminálba – valójában ezzel indul el a fertőzés. A parancs egy rejtett (Base64-kódolt) URL-ről tölt le egy fertőző Bash szkriptet, amely megszerzi a felhasználó jelszavát, majd telepíti és futtatja a Shamos-t, miközben kijátssza a biztonsági ellenőrzéseket.
Adatlopás és tartós jelenlét
A Shamos fő célja minél több személyes adat ellopása a gépről. Miután elindul, először ellenőrzi, hogy nem virtuális környezetben futtatják-e, majd AppleScript segítségével feltérképezi a rendszert. Kiemelten keresi a kriptotárcák fájljait, jelszókulcstartó adatokat, Apple Jegyzetek (Apple Notes) tartalmát, valamint a böngészőkbe mentett információkat. Ezeket egy csomagba (out.zip) tömörítve küldi el a támadóknak. Ha rendszergazdai jogokat kap, a kitartás érdekében beállít egy automatikus indítást (Plist-fájl) is.
Hamis alkalmazások és további veszélyek
A Shamos képes további kártékony programokat letölteni, például hamis Ledger Live pénztárcát vagy botnet modult is telepíthet. Egyre több támadás történik ClickFix módszerrel: a megtévesztő online “hibajavítások” szinte futótűzként terjesztik a kártevőt. Tavalyhoz képest majdnem kétszeresére nőtt a feltört jelszavak aránya: 25%-ról 46%-ra ugrott.
Hogyan védekezz?
Soha ne futtass olyan terminálparancsot, amelynek működését nem érted teljesen – főleg, ha azt hirdetésekből vagy ismeretlen GitHub-oldalakról másolod! Hibakereséshez inkább használd az Apple Közösségi fórumát, vagy keresd fel a rendszer beépített súgóját (Cmd + Space, majd “Súgó”). Veszélyes lehet bármilyen, gyanús oldalról származó „segítség”!
