一款名为 "Shamos" 的新型信息窃取恶意软件正针对 Mac 设备发起攻击，它借助 "ClickFix 攻击 "（伪装成故障排除指南及修复方案）实施行动。

该恶意软件是 "Atomic macOS Stealer（AMOS，原子 macOS 窃取者）" 的变种，由网络犯罪团伙 "COOKIE SPIDER" 开发，用于窃取存储在网页浏览器、钥匙串项目、苹果备忘录以及加密货币钱包中的数据和凭证。

发现 Shamos 的 CrowdStrike 公司报告称，自 2025 年 6 月以来，该恶意软件已尝试对其监控的全球超 300 个环境发起感染。

借助 ClickFix 攻击进行传播

受害者会被恶意广告或伪造的 GitHub 仓库引诱——这些渠道利用 ClickFix 攻击，诱导用户在 macOS 终端中执行 shell 命令。

威胁者会催促用户运行这些命令以 " 安装软件 " 或 " 修复虚假错误 "，但命令一旦执行，实际上会在设备上下载并运行恶意软件。

恶意 GitHub 存储库

相关广告或伪造页面（如 mac-safer [ . ] com、rescue-mac [ . ] com）声称能解决用户可能搜索的 macOS 相关问题，其中包含让用户复制粘贴命令以 " 修复问题 " 的指示。

谷歌搜索上的恶意赞助结果

然而，这些命令并不会解决任何问题，反而会解码一个 Base64 编码的 URL，并从远程服务器获取恶意的 Bash 脚本。

在 macOS 上修复打印机问题的错误说明

该脚本会获取用户密码，下载 Shamos 的 mach-O 可执行文件，还会利用 "xattr"（移除隔离标记）和 "chmod"（赋予二进制文件可执行权限）来绕过 Gatekeeper，进而准备并执行恶意软件。

Shamos 的数据窃取行为

Shamos 在设备上执行后，会先运行反虚拟机命令，确认自身并非在沙箱中运行，随后通过 AppleScript 命令进行主机侦察和数据收集。

它会在设备上搜索敏感数据，包括加密货币钱包文件、钥匙串数据、苹果备忘录数据以及受害者浏览器中存储的信息。 

收集完所有数据后，它会将这些数据打包成名为 "out.zip" 的压缩包，再通过 curl 传输给攻击者。

若该恶意软件以 sudo 权限运行，还会创建一个 Plist 文件（com.finder.helper.plist），并将其存储在用户的 LaunchDaemons 目录中，通过系统启动时自动执行来确保持久化驻留。

CrowdStrike 还指出，Shamos 能够将额外的载荷下载到受害者的主目录中，且已观察到威胁者投放伪造的 Ledger Live 钱包应用程序和僵尸网络模块的情况。

给 macOS 用户的建议

建议 macOS 用户，若不完全清楚命令，切勿在自己的系统上执行。对于 GitHub 仓库也应如此。该平台上存在众多恶意项目，其目的就是感染毫无防备的用户。

当 macOS 出现问题时，应避免点击赞助搜索结果，而是到由苹果审核的苹果社区论坛，或通过系统内置的 " 帮助 " 功能（按下 Cmd + Space，输入 "Help"）寻求帮助。

ClickFix 攻击已成为一种广泛用于传播恶意软件的策略，威胁者会在 TikTok 视频中使用该策略，或将其伪装成验证码，亦或是作为 " 修复 " 虚假 Google Meet 错误的方案。 

事实证明，这种策略在恶意软件部署方面极为有效，已被用于勒索软件攻击。