СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
31.08.2025
#Dev#ИБ#ИИ

Shamos Stealer на macOS: ClickFix, Cookie Spider и Google Ads

Shamos Stealer на macOS: ClickFix, Cookie Spider и Google Ads

Исследователи CrowdStrike 20 августа зафиксировали более 300 попыток компрометации пользователей macOS, связанных с распространением вредоносного ПО Shamos stealer. Атака — часть более широкой инициативы, обозначаемой как Cookie Spider, и опирается на тщательно срежиссированные мошеннические сайты IT‑поддержки, цель которых — заставить пользователя добровольно скачать вредоносный установщик.

CrowdStrike сообщила о «более чем 300 попытках вторжения», связанных с Shamos stealer.

Как работает кампания

Атака представляет собой классическую социальную инженерию в сочетании с рекламными сетями: злоумышленники создают страницы, имитирующие легитимные сервисы, и продвигают их через платформы вроде Google Ads. Посетителю показывают уведомления о проблемах или «официальную» инструкцию техподдержки, предлагающую скачать «решение» — в результате на устройство попадает вредоносное ПО.

Особое внимание злоумышленники уделяют пользователям, работающим с криптовалютами и популярными приложениями, такими как Slack. Именно эти категории чаще всего становятся целями фишинга и кражи учетных данных.

Ключевые тактики и векторы распространения

  • Максимально правдоподобные фальшивые сайты IT‑поддержки, продвигаемые через рекламные сети;
  • Использование вредоносной рекламы (malvertising) для увеличения охвата;
  • Фокус на пользователях, связанных с криптосервисами и корпоративными коммуникациями (Slack);
  • Применение техники ClickFix, позволяющей манипулировать функциями системы для тихой доставки полезной нагрузки без очевидных признаков вмешательства;
  • Сетевой подход и разделение ролей между разработчиками, распространителями и операторами вредоносного ПО — явная «паутинная» структура, обозначаемая в названиях кампаний и псевдонимах («паук»).

Технические особенности Shamos stealer

Shamos stealer демонстрирует продуманные механизмы уклонения от анализа. Среди заметных технических приёмов:

  • Проверка запуска в среде виртуальной машины — инструмент, помогающий избежать анализа в изолированных лабораториях и sandbox;
  • Манипуляции с системными функциями macOS для безшумной доставки и запуска полезной нагрузки;
  • Ориентация на извлечение учетных данных и сессионных токенов, особенно в контексте криптокошельков и мессенджеров;
  • Интеграция с рекламными и распределительными каналами для масштабного распространения.

Почему это важно

Данная кампания подчёркивает сразу несколько трендов в современной киберугрозе для macOS:

  • macOS уже не является «безопасной по умолчанию» платформой от атак социальной инженерии и целенаправленных stealer‑семейств;
  • злоумышленники эффективнее используют рекламные сети для продвижения вредоносного контента;
  • рост взаимосвязи между авторами, распространителями и операторами вредоносного ПО создаёт устойчивые экосистемы, сложные для разрыва одним лишь takedown‑заходом.

Рекомендации для пользователей и администраторов

  • Не скачивайте ПО с рекламных ссылок и одноразовых страниц — используйте только официальные сайты и App Store;
  • Проверяйте URL и сертификаты сайтов перед вводом учетных данных или загрузкой файлов;
  • Отключите автоматическое исполнение загруженных приложений; используйте Gatekeeper и встроенные механизмы проверки macOS;
  • Регулярно обновляйте систему и приложения, особенно браузеры и клиентские программы обмена сообщениями;
  • Для критичных задач с криптовалютами применяйте аппаратные кошельки и отдельные безопасные машины/окружения;
  • Организациям стоит рассмотреть внедрение EDR/AV‑решений и мониторинга поведения, включая обнаружение техник evasive checks (проверок на VM/sandbox);
  • Обучайте сотрудников распознаванию фишинговых сайтов и сомнительных рекламных объявлений.

Вывод

Кампания с использованием Shamos stealer и методов Cookie Spider — очередное напоминание о том, что безопасность macOS зависит не только от системных настроек, но и от бдительности пользователей. Современные злоумышленники комбинируют social engineering, malvertising и технические приёмы уклонения, создавая масштабные и адаптивные угрозы. Пользователям Apple стоит сохранять осторожность при взаимодействии с рекламой и «поддержкой» в интернете, а организациям — усиливать коллективную устойчивость через технологии защиты и обучение персонала.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: