Shamos Stealer
Shamosは、macOSデバイスを侵害することに特化した、最近確認されたmacOSマルウェアです。少なくとも2025年の夏から活動しているこのマルウェアは、COOKIE SPIDERと呼ばれるグループによって、Malware-as-a-Service(MaaS)サービスとして運営されています。主な拡散経路はClickFix詐欺であり、これはmacOSユーザーを標的とするサイバー犯罪者の間でますます普及している手口です。Shamosは、モバイル脅威であるAMOS(Atomic)Stealerの亜種であることが確認されています。
目次
初期感染経路
Shamosは主にClickFix詐欺を通じてシステムに侵入します。ClickFix詐欺は、ユーザーを騙して悪意のあるコマンドをターミナルにコピー&ペーストさせます。この操作により、Bashスクリプトのダウンロードが開始され、Gatekeeperのチェックを回避してログイン認証情報を盗み出し、最終的にShamosを含むMach-Oファイルを展開します。この手法は、トラブルシューティングのアドバイスに対するユーザーの信頼を悪用することで、感染率を大幅に高めます。
ステルスとデータ収集
Shamosは実行されると、分析回避メカニズムを用いて、仮想マシンまたはサンドボックス内で実行されているかどうかを検出します。環境が本物であると判断された場合、広範なデータ収集を開始します。このマルウェアは、パスワード、暗号通貨ウォレット、機密システムデータに関連するファイルを探します。
主な関心領域は次のとおりです。
キーチェーン アクセス: Apple のネイティブ パスワード ストレージ ユーティリティ。
メモアプリ: 個人情報を保存するためにユーザーによって悪用されることがよくあります。
Web ブラウザ: 閲覧履歴、Cookie、自動入力エントリ、保存された資格情報、支払い詳細の豊富なソース。
データ盗難を超えて拡大
Shamosは認証情報の収集だけにとどまりません。以下のような追加のペイロードをダウンロードすることが確認されています。
- 大規模なネットワーク悪用を目的としたボットネット モジュール。
- 暗号通貨ユーザーを騙すために設計された偽の Ledger Live ウォレット アプリ。
このような機能により、Shamos は、ランサムウェア、トロイの木馬、暗号通貨マイナー、その他の影響の大きい脅威を含む、より広範な感染への入り口となります。
地域ターゲティングと除外
Shamosを配布するキャンペーンは、主に米国、英国、カナダ、中国、コロンビア、イタリア、日本、メキシコのユーザーをターゲットにしています。注目すべき点として、ロシアが除外されています。これは、ロシアを拠点とするMaaS事業者が現地のユーザーをターゲットにしないという一般的な慣行と一致しています。
ClickFix詐欺の実態
Shamosキャンペーンの根幹は、マルバタイジングとSEOポイズニングにあり、被害者を正規のMacサポートページを装った詐欺ウェブサイトへ誘導します。これらのウェブサイトは、本物のブランドイメージを利用して信頼を構築した後、ユーザーに有害なコマンドを実行するよう指示します。
さらに、サイバー犯罪者は偽の GitHub リポジトリを使用して、iTerm2、CAD ソフトウェア、ビデオ エディター、AI ツール、最適化プログラムなどの人気の Mac ツールの無料ダウンロードを提供しています。
その他の配布方法
ClickFix 詐欺が依然として主な配信メカニズムである一方、Shamos は次のような従来のマルウェア配信手法によっても拡散される可能性があります。
フィッシングとソーシャル エンジニアリング: 電子メール、プライベート メッセージ、またはダイレクト メッセージ経由の悪意のあるリンクまたは添付ファイル。
ドライブバイダウンロードとマルバタイジング: 侵害されたサイトや悪意のあるサイトに隠されたペイロード。
疑わしい配布チャネル: 海賊版ソフトウェア、クラック、サードパーティのフリーウェア、P2P ネットワーク。
偽のアップデート: 偽のセキュリティ アップデートまたはシステム アップデートをインストールするようにユーザーに促す偽のプロンプト。
自己増殖: マルウェアの亜種の中には、ローカル ネットワークや外部ドライブを通じて自律的に拡散するものもあります。
結論
Shamosがシステムに存在すると、深刻なプライバシー侵害、個人情報の盗難、金銭的損失、そして連鎖的な攻撃による多重感染につながる可能性があります。MaaSモデルを採用しているため、スキルの低い脅威アクターであってもアクセスでき、世界中のmacOSユーザーにとって永続的な脅威となっています。
