Mac — значит безопасно? Нет. Новый троян крадёт всё — от паролей до криптовалюты

COOKIE SPIDER Gatekeeper macOS Shamos троян инфостилер
Mac — значит безопасно? Нет. Новый троян крадёт всё — от паролей до криптовалюты
COOKIE SPIDER Gatekeeper macOS Shamos троян инфостилер

Хакеры нашли новый способ — помогают “чинить” ваш Mac и крадут пароли.

image

Исследователи из CrowdStrike зафиксировали новую кампанию заражения macOS , в которой используется вредоносная программа Shamos. Этот троян представляет собой вариант Atomic macOS Stealer (AMOS), известного инфостилера для Mac, и применяется группировкой COOKIE SPIDER. Основная цель Shamos — кража паролей, ключей из связки Keychain, заметок Apple Notes, криптовалютных кошельков и данных из браузеров.

С июня 2025 года Shamos был замечен более чем в трёхстах случаях заражения по всему миру. Распространение идёт через технику ClickFix, когда злоумышленники выдают инструкции под видом советов по исправлению ошибок или настройке системы. Чаще всего приманкой служат рекламные объявления или фальшивые репозитории на GitHub. Пользователям предлагают скопировать и выполнить команду в macOS Terminal якобы для устранения проблем, связанных с драйверами или настройкой принтеров. На деле команда раскодирует URL в Base64 и загружает вредоносный скрипт Bash с удалённого сервера.

Сценарий первым делом перехватывает пароль владельца устройства, затем скачивает бинарный файл Shamos, снимает с него флаг карантина с помощью xattr и делает исполняемым через chmod, обходя защитный механизм Gatekeeper . После запуска вредонос проверяет, не выполняется ли он в виртуальной среде, и выполняет набор AppleScript-команд для разведки и сбора информации о системе.

Данные жертвы упаковываются в архив out.zip и пересылаются на сервер операторов через curl. В случае если Shamos запускается с правами администратора, он закрепляется в системе: создаёт файл com.finder.helper.plist в каталоге LaunchDaemons, обеспечивая автозагрузку при старте macOS. CrowdStrike отмечает, что программа может скачивать дополнительные модули, включая поддельное приложение Ledger Live для управления криптовалютными кошельками и ботнет-компоненты.

Атаки ClickFix становятся всё более распространённым методом доставки вредоносных программ. Их маскируют под капчи, подсказки для Google Meet или ролики в TikTok, а теперь и под «исправления ошибок» для Mac. Эффективность этой техники настолько высока, что её используют не только киберпреступные группировки, но и государственные структуры в своих атаках.

Пользователям macOS рекомендуется не выполнять команды из случайных инструкций в интернете, особенно из рекламных ссылок или непроверенных GitHub-репозиториев . Для получения помощи лучше обращаться к встроенной справке системы (Cmd + Space → Help) или на официальные форумы Apple Community, где публикации проходят модерацию.