С июня по август 2025 года специалисты по кибербезопасности из CrowdStrike зафиксировали масштабную кампанию по распространению вредоносного ПО Shamos, варианта инфостилера Atomic macOS Stealer (AMOS). Программа попыталась скомпрометировать более 300 клиентских сред по всему миру, используя методы malvertising и фальшивые репозитории на GitHub. Атаки, проводимые группой COOKIE SPIDER, были успешно заблокированы платформой Falcon, но подчеркивают растущую угрозу для пользователей macOS, особенно владельцев криптокошельков.
Злоумышленники заманивают жертв через зловредную рекламу в Google или поддельные сайты технической поддержки, такие как mac-safer.com и rescue-mac.com. Эти ресурсы предлагают инструкции по устранению типичных проблем macOS, таких как сбои принтеров или ошибки безопасности. Пользователей убеждают скопировать и вставить команду в Terminal, часто закодированную в Base64, которая загружает вредоносный Bash-скрипт. Этот скрипт устанавливает исполняемый файл Shamos Mach-O, обходя механизмы защиты Gatekeeper. Фальшивые GitHub-репозитории, имитирующие легитимные проекты, такие как iTerm2, также используются для распространения.
После установки Shamos сканирует систему, собирая пароли, данные из Keychain, Apple Notes и информацию из браузеров. Особое внимание уделяется файлам криптокошельков, включая популярные платформы, такие как Electrum, Binance, Exodus, Atomic и Coinomi. Собранные данные архивируются в файл out.zip и отправляются на серверы злоумышленников через команду curl. Shamos работает в модели malware-as-a-service, где COOKIE SPIDER предоставляет инструмент аффилиатам для целевых атак, что усиливает масштаб угрозы.
CrowdStrike советует пользователям избегать загрузки файлов из ненадежных источников, включая подозрительные GitHub-репозитории и рекламные ссылки. При проблемах с macOS следует обращаться на официальные форумы Apple или использовать встроенную функцию помощи (Cmd + Space → “Help”). Внедрение endpoint-защиты и DNS-фильтров может предотвратить компрометацию. Для защиты криптоактивов эксперты рекомендуют использовать многофакторную аутентификацию, регулярно обновлять программное обеспечение и хранить ключи в аппаратных кошельках.
Атаки Shamos подчеркивают уязвимость пользователей macOS, особенно в контексте криптовалютного рынка, где потери от кражи кошельков могут достигать миллионов долларов. Рост популярности децентрализованных финансов (DeFi) делает подобные угрозы особенно актуальными. Хотя инциденты могут временно подорвать доверие к платформам, они также стимулируют развитие более надежных решений для хранения активов, таких как холодные кошельки и улучшенные блокчейн-протоколы. Пользователям следует усилить меры безопасности, чтобы минимизировать риски.