Jak usunąć złośliwe oprogramowanie typu stealer Shamos z komputera Mac

Czym jest złośliwe oprogramowanie Shamos?

Shamos jest odmianą programu AMOS (Atomic) stealer. Ten złośliwy program atakuje urządzenia z systemem macOS i ma na celu kradzież poufnych danych. Shamos istnieje co najmniej od lata 2025 roku. Został opracowany i jest oferowany jako MaaS (Malware-as-a-Service) przez grupę cyberprzestępców o nazwie „COOKIE SPIDER”. Program Shamos stealer jest aktywnie rozpowszechniany za pośrednictwem oszustw ClickFix.

Przegląd złośliwego oprogramowania Shamos

W momencie przeprowadzania badań Shamos infiltrował systemy poprzez oszustwa ClickFix. Ofiary są nakłaniane do skopiowania/wklejenia i wykonania złośliwego polecenia w Terminalu, co powoduje pobranie pliku skryptu Bash. Technika ta pozwala ominąć kontrole bezpieczeństwa Gatekeeper. Po uzyskaniu danych logowania do konta użytkownika plik pobiera i uruchamia plik Mach-O zawierający Shamos.

Program wykorzystuje mechanizmy antyanalizacyjne, takie jak wykrywanie uruchomienia na maszynie wirtualnej (Virtual Machine) lub w środowisku sandbox. Następnie rozpoczyna zbieranie odpowiednich danych z urządzenia. Shamos przeszukuje system w poszukiwaniu interesujących plików, np. związanych z hasłami i portfelami kryptowalutowymi.

Program ten może również wyodrębniać informacje z Keychain (natywnej aplikacji Mac do przechowywania haseł), aplikacji Notes oraz przeglądarek. Zazwyczaj oprogramowanie służące do kradzieży danych ma na celu wyodrębnienie z przeglądarek następujących informacji: historia przeglądania i wyszukiwania, pliki cookie, dane autouzupełniania (np. dane osobowe, nazwy użytkowników itp.), hasła, numery kart kredytowych/debetowych itp.

Ponadto Shamos może pobierać/instalować dodatkowe złośliwe programy lub komponenty. Zaobserwowano, że program kradnący wprowadza do systemów moduł botnet oraz fałszywą aplikację portfela Ledger Live. Może on jednak służyć do infiltracji innych treści.

Teoretycznie programy zdolne do wywoływania infekcji łańcuchowych mogą wprowadzać do urządzeń praktycznie każdy rodzaj złośliwego oprogramowania (np. trojany, oprogramowanie ransomware, koparki kryptowalut, itp.). W praktyce programy te działają jednak zazwyczaj w ramach określonych specyfikacji lub ograniczeń.

Podsumowując, obecność oprogramowania takiego jak Shamos na urządzeniach może prowadzić do wielu infekcji systemu, poważnych problemów związanych z prywatnością, strat finansowych i kradzieży tożsamości.

Infekcje złośliwym oprogramowaniem typu stealer

Napisaliśmy tysiące artykułów na temat złośliwego oprogramowania; mac.c stealer, Odyssey, Cthulhu, Banshee oraz ROD to tylko niektóre z naszych programów typu stealer. Informacje, które są celem ataku, mogą być niezwykle szerokie lub wąskie. Co więcej, programy typu stealer są często używane w połączeniu z innym złośliwym oprogramowaniem, a funkcje wycieku danych są ogólnie powszechne.

Jednak niezależnie od tego, jak działa złośliwe oprogramowanie, jego obecność w systemie zagraża integralności urządzenia i bezpieczeństwu użytkownika. Dlatego wszystkie zagrożenia należy natychmiast eliminować po ich wykryciu.

W jaki sposób Shamos przeniknął do mojego komputera?

Jak wspomniano wcześniej, Shamos rozprzestrzenia się poprzez oszustwa ClickFix. Podstawowym elementem tych oszustw jest nakłonienie użytkowników do skopiowania/wklejenia i wykonania polecenia w Terminalu. Odnotowano wiele kampanii ClickFix pod różnymi postaciami.

W celu promowania fałszywych stron pomocy technicznej dla komputerów Mac wykorzystano złośliwe reklamy (malvertising) oraz techniki zatruwania SEO. Strony te mogą wykorzystywać nazwy i marki prawdziwych firm, tworząc w ten sposób wrażenie legalności.

Docelowi użytkownicy znajdowali się w Stanach Zjednoczonych, Wielkiej Brytanii, Kanadzie, Chinach, Kolumbii, Włoszech, Japonii i Meksyku. Odnotowano jedno godne uwagi wyłączenie — Rosję — jednak nie jest to zaskakujące, ponieważ wiele internetowych platform MaaS (Malware-as-a-Service) ma siedzibę w Rosji.

Oszustwa ClickFix rozprzestrzeniające Shamos były również promowane za pośrednictwem fałszywych repozytoriów GitHub. Przynętą były obietnice bezpłatnych pobrań różnych narzędzi przeznaczonych dla komputerów Mac, takich jak iTerm2, oprogramowanie optymalizacyjne, edytory wideo, programy audio, oprogramowanie CAD (Computer-Aided Design), narzędzia AI (Artificial Intelligence) itp.

Jednak program Shamos Stealer może być rozpowszechniany przy użyciu innych technik. Phishing i taktyki inżynierii społecznej są standardowymi metodami rozprzestrzeniania złośliwego oprogramowania.

Oprócz oszustw złośliwe oprogramowanie jest szeroko rozpowszechniane poprzez drive-by (ukryte/zwodnicze) pobieranie, złośliwe reklamy, złośliwe załączniki/linki w wiadomościach spamowych (np. e-maile, prywatne wiadomości/wiadomości bezpośrednie, itp.), podejrzanych kanałów pobierania (np. stron internetowych z darmowym oprogramowaniem i stron internetowych stron trzecich, sieci wymiany plików peer-to-peer itp.), pirackich programów/nośników, nielegalnych narzędzi do aktywacji oprogramowania („cracków”) oraz fałszywych aktualizacji.

Ponadto niektóre złośliwe programy mogą samodzielnie rozprzestrzeniać się poprzez sieci lokalne i przenośne urządzenia pamięci masowej (np. zewnętrzne dyski twarde, pamięci USB itp.).

Jak uniknąć instalacji złośliwego oprogramowania?

Zdecydowanie zalecamy zachowanie czujności podczas przeglądania Internetu, ponieważ jest on pełen zwodniczych i niebezpiecznych treści. Należy zachować ostrożność w stosunku do przychodzących wiadomości e-mail i innych wiadomości. Nie należy otwierać załączników ani linków zawartych w podejrzanych/nieistotnych wiadomościach, ponieważ mogą one być złośliwe.

Kolejną rekomendacją jest pobieranie plików wyłącznie z oficjalnych i zweryfikowanych źródeł. Ponadto wszystkie programy muszą być aktywowane i aktualizowane przy użyciu legalnych funkcji/narzędzi, ponieważ te uzyskane od stron trzecich mogą zawierać złośliwe oprogramowanie.

Należy podkreślić znaczenie posiadania renomowanego programu antywirusowego i jego regularnej aktualizacji. Oprogramowanie zabezpieczające musi być używane do regularnego skanowania systemu i usuwania wykrytych zagrożeń i problemów. Jeśli komputer jest już zainfekowany, zalecamy uruchomienie skanowania za pomocą Combo Cleaner Antivirus dla Windows, aby automatycznie wyeliminować zainfekowane złośliwe oprogramowanie.

Fałszywe strony wykorzystywane w oszustwach ClickFix rozprzestrzeniających złośliwe oprogramowanie Shamos (źródło obrazu – CrowdStrike Cybersecurity Blog):

Natychmiastowe automatyczne usunięcie malware:

Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Combo Cleaner to profesjonalne narzędzie do automatycznego usuwania malware, które jest zalecane do pozbycia się złośliwego oprogramowania. Pobierz je, klikając poniższy przycisk:

Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez RCS LT, spółkę macierzystą PCRisk.

Szybkie menu:

• Czym jest „Shamos”?
• Usuń pliki i foldery związane z PUA z systemu OSX.
• Usuń nieuczciwe rozszerzenia z przeglądarki Safari.

Film pokazujący, jak usunąć oprogramowanie reklamowe i porywaczy przeglądarki z komputera Mac:

Usuwanie potencjalnie niechcianych aplikacji:

Usuń potencjalnie niechciane aplikacje z folderu „Aplikacje”:

Kliknij ikonę Finder. W oknie Findera wybierz „Aplikacje”. W folderze aplikacji poszukaj „MPlayerX”, „NicePlayer” lub innych podejrzanych aplikacji i przeciągnij je do Kosza. Po usunięciu potencjalnie niechcianych aplikacji powodujących wyświetlanie reklam online przeskanuj komputer Mac w poszukiwaniu pozostałych niechcianych komponentów.

Często zadawane pytania (FAQ)

Mój komputer jest zainfekowany złośliwym oprogramowaniem Shamos. Czy powinienem sformatować urządzenie pamięci masowej, aby się go pozbyć?

Nie, usunięcie programu Shamos Stealer nie wymaga formatowania.

Jakie są największe problemy, które może spowodować złośliwe oprogramowanie Shamos?

Zagrożenia związane z infekcją zależą od możliwości złośliwego oprogramowania i sposobu działania atakujących. Shamos to program typu stealer, który atakuje podatne dane i może powodować infekcje łańcuchowe. Dlatego obecność tego oprogramowania może prowadzić do infekcji systemu, poważnych problemów z prywatnością, strat finansowych i kradzieży tożsamości.

Jaki jest cel złośliwego oprogramowania Shamos?

Najczęstszą motywacją ataków złośliwego oprogramowania jest zysk finansowy. Inne możliwe przyczyny to: poszukiwanie rozrywki lub realizacja osobistych urazów przez atakujących, zakłócenie procesów (np. stron internetowych, usług, firm, organizacji itp.), haktywizm oraz motywacje polityczne/geopolityczne.

W jaki sposób złośliwe oprogramowanie Shamos dostało się do mojego komputera?

Shamos było rozpowszechniane poprzez wiele kampanii oszustw ClickFix. Inne techniki dystrybucji również są możliwe. Złośliwe oprogramowanie rozprzestrzenia się zazwyczaj poprzez drive-by downloads, spamowe wiadomości e-mail/komunikaty, złośliwe reklamy, podejrzane kanały pobierania (np. strony internetowe z darmowym oprogramowaniem i darmowym hostingiem plików, sieci wymiany plików P2P itp.), nielegalne narzędzia do aktywacji oprogramowania („cracki”), pirackie treści i fałszywe aktualizacje. Niektóre złośliwe programy mogą samodzielnie rozprzestrzeniać się poprzez sieci lokalne i przenośne urządzenia pamięci masowej.

Czy Combo Cleaner ochroni mnie przed złośliwym oprogramowaniem?

Tak, Combo Cleaner jest w stanie wykryć i usunąć praktycznie wszystkie znane infekcje złośliwym oprogramowaniem. Należy pamiętać, że wykonanie pełnego skanowania systemu jest niezbędne, ponieważ zaawansowane złośliwe programy mają tendencję do ukrywania się głęboko w systemach.