Entre junho e agosto de 2025, uma sofisticada campanha de malware direcionada a usuários macOS conseguiu tentar comprometer mais de 300 ambientes monitorados pela CrowdStrike ao redor do mundo. O responsável por essa ofensiva cibernética é o Shamos, uma variante do conhecido Atomic macOS Stealer (AMOS) desenvolvida pelo grupo criminoso COOKIE SPIDER. Neste artigo do blog Dolutech, exploramos em detalhes essa nova ameaça que utiliza a técnica ClickFix para enganar usuários e como você pode se proteger.
O que é o Malware Shamos?
O Shamos representa uma evolução perigosa no cenário de ameaças para macOS. Como uma variante modernizada do Atomic macOS Stealer, este infostealer foi projetado especificamente para roubar informações sensíveis dos usuários Apple. A Dolutech identificou que sua principal característica é a capacidade de coletar dados de múltiplas fontes no sistema, incluindo senhas do Keychain, credenciais de navegadores, arquivos de carteiras de criptomoedas e dados do Apple Notes.
Desenvolvido pelo grupo cibercriminoso COOKIE SPIDER, o Shamos opera sob um modelo de Malware-as-a-Service (MaaS), onde outros criminosos podem “alugar” o malware para conduzir seus próprios ataques. Essa abordagem permite que a ameaça se espalhe rapidamente entre diferentes grupos criminosos, ampliando significativamente seu alcance e impacto.
COOKIE SPIDER: O Grupo Por Trás da Ameaça
O COOKIE SPIDER é um grupo cibercriminoso com motivações financeiras que se especializou na criação e distribuição de malware através do modelo MaaS. Assim como outros coletivos similares, eles operam uma estrutura organizacional clara, com desenvolvedores de malware, administradores de sistema, gerentes e suporte técnico.
Nós observamos que o grupo segue um padrão comum de grupos criminosos baseados na Comunidade dos Estados Independentes (CEI), evitando deliberadamente alvos na Rússia e países vizinhos. Durante a campanha do Shamos, foram identificadas vítimas nos Estados Unidos, Reino Unido, Japão, China, Colômbia, Canadá, México, Itália e outros países, mas notavelmente nenhuma infecção foi reportada na Rússia.
A Técnica ClickFix: Engenharia Social Aperfeiçoada
Como Funciona o ClickFix
A técnica ClickFix representa uma evolução sofisticada da engenharia social, explorando a confiança dos usuários em interfaces familiares. Os atacantes criam sites falsos ou comprometem sites legítimos para exibir páginas que simulam:
- Verificações de segurança hCaptcha
- Páginas de suporte técnico da Apple
- Alertas de erro do sistema
- Instruções de correção de problemas
Quando o usuário acessa essas páginas falsas, um comando malicioso é silenciosamente copiado para a área de transferência. Em seguida, instruções convincentes orientam a vítima a abrir o Terminal do macOS e colar o comando, acreditando estar resolvendo um problema legítimo.
Vetores de Distribuição
A campanha do Shamos utiliza principalmente duas estratégias de distribuição:
1. Malvertising Os criminosos compram anúncios que aparecem nos resultados de busca quando usuários procuram por soluções para problemas comuns do macOS, como “flush resolver cache do macOS”. Esses anúncios direcionam para sites falsos que imitam páginas de suporte oficial.
2. Repositórios Falsos no GitHub Foram identificados repositórios falsos imitando projetos legítimos como o iTerm2, contendo instruções detalhadas para download e execução do malware disfarçado de software genuíno.
Funcionamento Técnico do Shamos
Processo de Infecção
O processo de infecção do Shamos segue uma sequência bem orquestrada:
- Bypass do Gatekeeper: O comando inicial utiliza
xattrpara remover atributos estendidos echmodpara tornar o arquivo executável, contornando as proteções nativas do macOS - Verificações Anti-VM: Uma vez executado, o malware realiza verificações para detectar se está rodando em um ambiente de sandbox ou máquina virtual
- Reconhecimento do Sistema: Utiliza comandos AppleScript para coletar informações detalhadas sobre o sistema hospedeiro
- Coleta de Dados: Busca por arquivos de carteiras de criptomoedas, dados do Keychain, informações do Apple Notes e credenciais armazenadas em navegadores
- Exfiltração: Empacota todos os dados coletados em um arquivo
out.zipe os transmite para servidores controlados pelos atacantes usando curl
Persistência no Sistema
Em casos onde o malware obtém privilégios de administrador, ele implementa um mecanismo de persistência criando um arquivo Plist (com.finder.helper.plist) no diretório LaunchDaemons do usuário. Isso garante que o malware seja executado automaticamente toda vez que o sistema for iniciado.
Dados Coletados pelo Shamos
Informações Sensíveis Alvo
O Shamos é programado para extrair uma ampla gama de informações sensíveis:
- Keychain: Senhas, certificados e chaves criptográficas armazenadas no sistema de gerenciamento de senhas do macOS
- Navegadores: Cookies, senhas salvas, histórico de navegação, dados de autopreenchimento e informações de cartões de crédito
- Apple Notes: Conteúdo completo das anotações, incluindo informações pessoais e confidenciais
- Carteiras de Criptomoedas: Arquivos de carteiras digitais como Electrum, Binance, Exodus, Atomic e Coinomi
- Arquivos do Sistema: Documentos da área de trabalho, arquivos pessoais e informações detalhadas do sistema
Payloads Secundários
Além da coleta de dados, o Shamos pode baixar cargas úteis adicionais, incluindo:
- Uma versão falsa do aplicativo Ledger Live para roubar mais credenciais de criptomoedas
- Módulos de botnet para controle remoto do sistema
- Outras ferramentas maliciosas conforme necessário para operações específicas
Estratégias de Mitigação e Proteção
Medidas Preventivas Essenciais
1. Desconfiança de Comandos do Terminal Nunca execute comandos copiados de sites na internet sem entender completamente sua função. Isso inclui comandos que parecem inofensivos ou que alegam “corrigir” problemas do sistema.
2. Verificação de Fontes Sempre busque ajuda em fontes oficiais como os fóruns da comunidade Apple ou o sistema de Ajuda integrado do macOS (Cmd + Space → “Ajuda”) em vez de confiar em anúncios patrocinados.
3. Ceticismo com Anúncios Evite clicar no primeiro resultado patrocinado dos mecanismos de busca, especialmente ao procurar soluções técnicas. Criminosos frequentemente compram esses espaços publicitários.
4. Verificação de URLs Sempre verifique cuidadosamente URLs antes de seguir instruções técnicas, especialmente se contiverem domínios suspeitos ou typosquatting de marcas conhecidas.
Configurações de Segurança Recomendadas
Gatekeeper e XProtect Mantenha sempre ativo o Gatekeeper do macOS e certifique-se de que o XProtect (sistema antivírus integrado) esteja atualizado. Embora o Shamos possa contornar essas proteções, elas oferecem uma camada adicional de segurança.
Controle de Privacidade Configure adequadamente as permissões de privacidade em Sistema Preferences > Segurança e Privacidade, limitando o acesso de aplicativos a dados sensíveis.
Backup Regulares Mantenha backups regulares usando Time Machine ou soluções equivalentes, permitindo restauração rápida em caso de comprometimento.
Detecção de Infecção
Fique atento aos seguintes sinais que podem indicar infecção pelo Shamos:
- Atividade incomum de rede, especialmente conexões usando curl
- Processos suspeitos executando AppleScript
- Arquivos Plist não autorizados em LaunchDaemons
- Lentidão inexplicável do sistema ou comportamento anômalo
O Cenário Atual de Ameaças no macOS
Crescimento dos Infostealers
Segundo dados da indústria de segurança cibernética, 2025 tem testemunhado um crescimento explosivo de infostealers direcionados ao macOS. A Dolutech observa que isso coincide com o crescimento da base de usuários Apple e o aumento da adoção do macOS em ambientes corporativos.
Os dados da Malwarebytes indicam um crescimento de 101% em detecções de infostealers no macOS entre os últimos dois trimestres de 2024, com o Poseidon Stealer (outro fork do AMOS) representando 70% de todas as detecções no final do ano.
A Evolução do ClickFix
O ClickFix tem se mostrado uma técnica extremamente eficaz, com dados da ESET indicando um crescimento de 517% nos últimos seis meses, tornando-se o segundo vetor de ataque mais comum, ficando atrás apenas do phishing tradicional. A técnica já foi adaptada para Windows, macOS e recentemente Linux, demonstrando sua versatilidade e eficácia.
Resposta da Indústria e Proteções
Detecção por Soluções de Segurança
A CrowdStrike reportou que sua plataforma Falcon conseguiu bloquear com sucesso todas as tentativas de infecção do Shamos entre os ambientes monitorados, demonstrando a importância de soluções de endpoint modernas que utilizam técnicas de detecção comportamental.
Consciência e Educação
Nós acreditamos que a educação dos usuários continua sendo a linha de defesa mais importante contra técnicas como o ClickFix. É fundamental que usuários de macOS entendam que não estão imunes a malware e que práticas de segurança rigorosas são essenciais.
Conclusão
O surgimento do malware Shamos e sua utilização da técnica ClickFix representa uma evolução significativa no panorama de ameaças para usuários macOS. A combinação de engenharia social sofisticada com um infostealer tecnicamente avançado, distribuído através de um modelo MaaS pelo grupo COOKIE SPIDER, demonstra a crescente profissionalização do crime cibernético.
A eficácia da campanha, com mais de 300 tentativas de comprometimento em apenas três meses, serve como um alerta importante para usuários e organizações que utilizam sistemas Apple. É crucial adotar uma postura proativa de segurança, incluindo educação dos usuários, implementação de soluções de segurança adequadas e manutenção de práticas rigorosas de higiene digital.
Como sempre enfatizamos na Dolutech, a segurança cibernética é uma responsabilidade compartilhada entre tecnologia e comportamento humano. Enquanto soluções técnicas como o CrowdStrike Falcon podem detectar e bloquear ameaças como o Shamos, a primeira e mais importante linha de defesa continua sendo o usuário informado e cauteloso.
Mantenha-se sempre atualizado sobre as últimas ameaças e lembre-se: quando algo parecer bom demais para ser verdade ou exigir ações incomuns como executar comandos no Terminal, pare e pense duas vezes antes de prosseguir.
Amante por tecnologia Especialista em Cibersegurança e Big Data, Formado em Administração de Infraestrutura de Redes, Pós-Graduado em Ciências de Dados e Big Data Analytics e Machine Learning, Com MBA em Segurança da Informação, Escritor do livro ” Cibersegurança: Protegendo a sua Reputação Digital”.
