Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Malware móvil El ladrón de Shamos

El ladrón de Shamos

Por Mezo en Malware móvil, Ladrones
Traducir a:

Shamos es un malware para macOS recientemente identificado, diseñado específicamente para comprometer dispositivos macOS. Activo desde al menos el verano de 2025, este malware opera como una oferta de Malware como Servicio (MaaS) a cargo de un grupo conocido como COOKIE SPIDER. Su principal vía de distribución han sido las estafas ClickFix, una técnica cada vez más popular entre los ciberdelincuentes que atacan a los usuarios de macOS. Shamos se ha identificado como una variante de la amenaza móvil AMOS (Atomic) Stealer .

Vía de infección inicial

Shamos se infiltra principalmente en los sistemas mediante estafas de ClickFix, que engañan a los usuarios para que copien y peguen comandos maliciosos en la Terminal. Esta acción desencadena la descarga de un script Bash que elude las comprobaciones de Gatekeeper, roba las credenciales de inicio de sesión y, finalmente, implementa un archivo Mach-O que contiene Shamos. Al aprovecharse de la confianza de los usuarios en los consejos de resolución de problemas, este método aumenta significativamente las tasas de infección.

Sigilo y recolección de datos

Una vez ejecutado, Shamos emplea mecanismos antianálisis para detectar si se ejecuta en una máquina virtual o en un entorno de pruebas. Si determina que el entorno es genuino, inicia una extensa recopilación de datos. El malware busca archivos vinculados a contraseñas, monederos de criptomonedas y datos confidenciales del sistema.

Las áreas clave de interés incluyen:

Acceso a Llaveros : utilidad de almacenamiento de contraseñas nativa de Apple.

Aplicación Notas : los usuarios la suelen utilizar de forma incorrecta para almacenar información privada.

Navegadores web : una rica fuente de historiales de navegación, cookies, entradas de autocompletar, credenciales almacenadas y detalles de pago.

Más allá del robo de datos

Shamos no se limita a la recolección de credenciales. Se ha observado que descarga cargas útiles adicionales, como:

  • Un módulo de botnet para la explotación de redes a gran escala.
  • Una aplicación de billetera Ledger Live falsa, diseñada para engañar a los usuarios de criptomonedas.

Estas capacidades convierten a Shamos en una puerta de entrada a infecciones más amplias, incluidos ransomware, troyanos, criptomineros y otras amenazas de alto impacto.

Segmentación geográfica y exclusiones

Las campañas que distribuyen Shamos se han dirigido principalmente a usuarios de Estados Unidos, Reino Unido, Canadá, China, Colombia, Italia, Japón y México. Una exclusión notable es Rusia, lo que coincide con la práctica habitual de los operadores de MaaS con sede en Rusia de evitar los objetivos locales.

Estafas de ClickFix en acción

La piedra angular de las campañas de Shamos reside en el malvertising y el envenenamiento SEO, que dirigen a las víctimas a sitios web fraudulentos camuflados en páginas de soporte legítimas de Mac. Estos sitios web utilizan una marca auténtica para generar confianza antes de indicar a los usuarios que ejecuten comandos dañinos.

Además, los ciberdelincuentes han utilizado repositorios engañosos de GitHub, ofreciendo descargas gratuitas de herramientas populares de Mac como iTerm2, software CAD, editores de video, herramientas de IA y programas de optimización.

Otros posibles métodos de distribución

Si bien las estafas de ClickFix siguen siendo el principal mecanismo de distribución, Shamos también podría propagarse a través de técnicas de distribución de malware más tradicionales, que incluyen:

Phishing e ingeniería social : enlaces o archivos adjuntos maliciosos a través de correo electrónico, mensajes privados o mensajes directos.

Descargas automáticas y publicidad maliciosa : cargas útiles ocultas en sitios comprometidos o maliciosos.

Canales de distribución sospechosos : software pirateado, cracks, software gratuito de terceros y redes P2P.

Actualizaciones falsas : mensajes engañosos que instan a los usuarios a instalar actualizaciones de seguridad o del sistema falsas.

Autoproliferación : algunas variantes de malware se propagan de forma autónoma a través de redes locales o unidades externas.

El resultado final

La presencia de Shamos en un sistema puede provocar graves intrusiones a la privacidad, robo de identidad, pérdidas financieras y múltiples infecciones mediante ataques encadenados. Su modelo MaaS garantiza su acceso incluso a atacantes poco cualificados, lo que lo convierte en un peligro persistente para los usuarios de macOS en todo el mundo.

Tendencias

Mas Visto

Cargando...