Un nuevo malware de Infente de Infentes, denominado ‘Shamos’, está dirigido activamente a los dispositivos MAC a través de ataques con clics engañosos. Estos ataques se disfrazan de las guías de solución de problemas legítimas y las supuestas correcciones del sistema, engañando a los usuarios para que instalen sin saberlo el software malicioso.
Según los informes, Shamos, identificado como una variante del robador de macOS atómico (AMOS), fue desarrollado por el grupo cibercriminal conocido como «araña de cookies». La función principal de Shamos es robar datos y credenciales confidenciales almacenados en varias aplicaciones y servicios en el dispositivo Mac comprometido. Esto incluye información de navegadores web, acceso de llavero, notas de Apple y billeteras de criptomonedas.
Crowdstrike, una empresa de ciberseguridad, detectado El malware Shamos e informó que se han identificado intentos de infección en más de 300 entornos a nivel mundial bajo su monitoreo desde junio de 2025. Esto indica una campaña generalizada y continua dirigida a los usuarios de Mac.
El malware se propaga a través de ataques de clickFix, que se entregan a través de la malvertimiento o mediante repositorios engañosos de GitHub. Estos ataques manipulan a los usuarios para ejecutar comandos de shell específicos dentro de la aplicación MacOS Terminal. A las víctimas a menudo se les presentan indicaciones que les instan a ejecutar estos comandos bajo la apariencia de instalar software o resolver errores fabricados. Sin embargo, la ejecución de estos comandos inicia la descarga e instalación del malware Shamos en el sistema.
Anuncios y páginas web falsificadas, como Mac-Safer[.]com y rescate-mac[.]com, se utilizan para atraer a las posibles víctimas. Estas páginas a menudo afirman brindar asistencia con problemas comunes de macOS que es probable que los usuarios busquen en línea. Las páginas contienen instrucciones que dirigen a los usuarios a copiar y pegar comandos en el terminal para que supuestamente solucione el problema identificado. Sin saberlo al usuario, estos comandos no solucionan ningún problema, sino que inician el proceso de infección por malware.
El comando malicioso, cuando se ejecuta, procede a decodificar una URL codificada por Base64 y recupera un script bash malicioso de un servidor remoto. Este script captura la contraseña del usuario y descarga el ejecutable Shamos Mach-O. El script se prepara y ejecuta el malware, utilizando ‘Xattr’ para eliminar el indicador de cuarentena y ‘Chmod’ para hacer que el ejecutable binario, evitando efectivamente la función de seguridad Gatekeeper de Apple.
Una vez que se ejecuta Shamos en un dispositivo, realiza comandos anti-VM para determinar si se ejecuta dentro de un entorno de sandboxed. Después de esto, los comandos AppleScript se ejecutan para el reconocimiento del host y la recopilación de datos. Luego, Shamos busca tipos especificados de datos confidenciales almacenados en el dispositivo, incluidos los archivos de billetera de criptomonedas, los datos del llavero, los datos de Apple Notes y la información almacenada dentro de los navegadores web de la víctima.
Una vez que se completa el proceso de recopilación de datos, Shamos empaqueta la información recopilada en un archivo de archivo llamado ‘out.zip’ y transmite este archivo al atacante utilizando el comando ‘curl’. En los casos en que el malware se ejecuta con privilegios de sudo (Superuser), Shamos crea un archivo Plist llamado ‘com.finder.helper.plist’ y lo almacena en el directorio de lanzamiento del usuario. Esto garantiza la persistencia a través de la ejecución automática cuando se inicia el sistema.
El análisis de CrowdStrike también reveló que Shamos posee la capacidad de descargar cargas útiles adicionales en el directorio de inicio de la víctima. Se han observado instancias donde los actores de amenaza han implementado una aplicación de billetera en vivo de Ledger falsificado y un módulo Botnet.
Se advierte a los usuarios de MacOS contra la ejecución de los comandos que se encuentran en línea si el propósito y la funcionalidad de los comandos no se comprenden completamente. La misma precaución se aplica a los repositorios de GitHub, ya que la plataforma a menudo se explota para alojar proyectos maliciosos diseñados para infectar a los usuarios desprevenidos. Al encontrar problemas con MACOS, se recomienda evitar los resultados de búsqueda patrocinados y, en su lugar, buscar asistencia a través de foros oficiales de la comunidad de Apple, que son moderados por Apple o mediante el uso de la función de ayuda incorporada del sistema (CMD + Space → «Ayuda»).
Los ataques de ClickFix se han convertido en una táctica cada vez más común utilizada para la distribución de malware. Los actores de amenaza emplean estos ataques en varios escenarios, incluidos los videos de Tiktok, los Captchas disfrazados y como supuestas correcciones para falsificar errores de Google. La efectividad de esta táctica ha llevado a su adopción en los ataques de ransomware y por los actores de amenazas patrocinados por el estado.
