Posle Windowsa, ClickFix napadi i na Macu: malver Shamos krade lozinke i kripto novčanike

Opisi virusa, 25.08.2025, 10:00 AM

Iako se često misli da su Mac računari bezbedniji od Windowsa, nova kampanja koju je otkrio CrowdStrike pokazuje da su i macOS korisnici sve češća meta napada. Shamos, novi infostealer, cilja upravo Mac uređaje koristeći ClickFix napade - lažna uputstva i „rešenja“ koja korisnike navode da sami instaliraju malver.

Shamos, koji je varijanta poznatog malvera Atomic macOS Stealer (AMOS), razvila je kriminalna grupa „COOKIE SPIDER“. Malver se koristi za krađu podataka iz veb pregledača, lozinki, sadržaja Apple Notes i fajlova iz kripto novčanika.

Od juna 2025. CrowdStrike je zabeležio više od 300 pokušaja infekcija širom sveta.

Žrtve se najčešće namame preko oglasa ili lažnih GitHub repozitorijuma. Oglasi ili lažne stranice (mac-safer[.]com, rescue-mac[.]com) tvrde da pružaju pomoć kod problema sa macOS-om koju ljudi verovatno traže, a sadrže uputstva koja ih usmeravaju da kopiraju i nalepe komandu u Terminal kako bi „popravili grešku“ ili „instalirali softver“.

Umesto da bilo šta popravi, komanda dekodira maliciozni URL, preuzima Bash skriptu i pokreće malver Shamos.

Kada se pokrene, Shamos proverava da li se pokreće u sandbox-u, prikuplja lozinke, fajlove kripto novčanika, podatke iz Apple Notes i podatke iz veb pregledača, sve pakuje u fajl out.zip i šalje napadačima.

Ako ima administratorske privilegije, malver se ubacuje u LaunchDaemons i automatski pokreće pri svakom pokretanju sistema.

Napadači ga koriste i za ubacivanje drugih malvera, poput lažne aplikacije Ledger Live ili čak botnet modula.

Kako se zaštititi?

Korisnicima MacOS-a se savetuje da nikada ne pokreću komande na svom sistemu koje su pronašli na internetu ako ne razumeju u potpunosti šta rade. Poseban oprez je neophodan sa GitHub repozitorijumima jer se nažalost, platforma često koristi za širenje malvera.

Za pomoć kod problema sa macOS-om koristite Apple Community forume ili ugrađeni Help (Cmd + Space → „Help“), a ne sponzorisane rezultate pretrage.

ClickFix napadi su trenutno veoma popularan metod distribucije malvera, a sajber kriminalci ih koriste u TikTok videima, kao lažne captcha testove, pa čak i kao „popravke“ Google Meet grešaka. Ova taktika se pokazala toliko uspešnom da je primećena i u ransomware kampanjama i u napadima hakera koje sponzorišu države.