Neuer Mac-Infostealer „Shamos“ tarnt sich als Problemlöser

So arbeitet die ClickFix-Masche – und so schützen Sie sich

Eine neue Malware-Familie für macOS sorgt für Aufsehen: Der Infostealer Shamos wird über gefälschte „Mac-Fixes“ verteilt, die als Hilfeseiten, Troubleshooting-Guides oder GitHub-Instructions auftreten. Hinter der Masche steckt laut Analysen die eCrime-Gruppe COOKIE SPIDER; Shamos gilt als Variante des bekannten Atomic macOS Stealers (AMOS). Sicherheitsforscher beobachteten seit Juni 2025 Angriffsversuche in mehr als 300 Umgebungen weltweit.

Was ist Shamos?

Shamos ist ein Informationsdieb (Infostealer) für macOS, der Zugangsdaten, Wallet-Dateien, Browser-Daten, Elemente aus der iCloud-Schlüsselbund-Verwaltung (Keychain) sowie Inhalte aus Apple Notes ausliest und exfiltriert. Die Autoren betreiben das Tool im Malware-as-a-Service-Modell, was Verbreitung und Weiterentwicklung beschleunigt.

So läuft die Attacke ab

• Malvertising & SEO-Täuschung: Gesponserte Suchtreffer und täuschend echte „macOS-Help“-Seiten locken Betroffene auf Domains wie mac-safer[.]com oder rescue-mac[.]com. Dort werden „Schritt-für-Schritt-Fixes“ versprochen.
• ClickFix-Social-Engineering: Die Seiten fordern auf, einen einzeiligen Terminal-Befehl zu kopieren und einzufügen – angeblich zur Fehlerbehebung. In Wahrheit lädt der Befehl ein Skript nach und startet die Infektion.
• Nachladen & Tarnung: Das Kommando dekodiert eine URL (Base64) und zieht ein install.sh von icloudservers[.]com/gm/ nach; das Skript erfragt/erfasst das Benutzer-Passwort und lädt den Shamos-Binary (Mach-O) nach /tmp/.
• Umgehung von Gatekeeper: Mit xattr wird die Quarantäne-Markierung entfernt, mit chmod die Ausführung erlaubt – so startet die Malware trotz macOS-Schutzmechanismen.

Fähigkeiten & Persistenz

• Datendiebstahl: Shamos sucht gezielt nach Browser-Cookies und Zugangsdaten, Keychain-Inhalten, Apple-Notes-Daten und Krypto-Wallet-Dateien, verpackt die Funde zu out.zip und schickt sie per curl an die Angreifer.
• Anti-Analyse & Aufklärung: Der Stealer führt Anti-VM-Prüfungen aus und nutzt AppleScript-Komponenten für Host-Reconnaissance.
• Persistenz: Läuft Shamos mit sudo-Rechten, legt er die LaunchDaemon-Plist com.finder.helper.plist zur Autostart-Sicherung an. Zudem wurden Zusatz-Payloads beobachtet (u. a. Fake-Ledger Live und Botnet-Modul).

Größe der Kampagne und Zielauswahl

Zwischen Juni und August 2025 registrierten Forscher über 300 vereitelte Zustellversuche in Kundennetzwerken. Der Köder: Hilfeseiten und vermeintliche „Fixes“, oft via Anzeigenprofilen, die echte Shops imitieren. Die Angriffe trafen Nutzer in zahlreichen Ländern; bekannte eCrime-Regeln schließen Ziele in Russland/CIS typischerweise aus.

ClickFix im Überblick

ClickFix ist eine Social-Engineering-Taktik, bei der Webseiten den Inhalt der Zwischenablage unbemerkt befüllen und den Nutzer anweisen, diesen Code in Terminal oder Systemdialoge zu einfügen. So wird der Sprung vom Browser ins System erzwungen. Die Methode verbreitet sich in vielen Kampagnen – teils sogar als „Captcha-Ersatz“.

Bezug zu AMOS: Warum das relevant ist

Shamos baut auf Atomic macOS Stealer (AMOS) auf – einer Familie, die jüngst um Backdoor-Funktionen erweitert wurde. Das erhöht das Risiko persistenter Zugriffe und Nachlader.

Indikatoren & Spuren (Auswahl)

• Malvertising-/Help-Domains: mac-safer[.]com, rescue-mac[.]com (gefälschte macOS-Anleitungen)
• Nachlade-Host: icloudservers[.]com/gm/install.sh und .../update (defanged)
• Persistenz: ~/Library/LaunchDaemons/com.finder.helper.plist (bei sudo)

Diese Artefakte stammen aus den technischen Analysen der Forscher. Hinweise können sich im Verlauf einer Kampagne ändern.

Erste Hilfe bei Verdacht (kurz & sicher)

1. Netz trennen (WLAN/LAN) und verdächtige Prozesse in der Aktivitätsanzeige prüfen.
2. Keine Terminal-Befehle aus „Fix-Anleitungen“ ausführen; keine unbekannten Installer öffnen.
3. Autostarts prüfen: Benutzer-LaunchDaemons und -Agents auf unbekannte Plists (z. B. com.finder.helper.plist) kontrollieren; verdächtige Einträge entfernen.
4. Passwörter & Tokens rotieren: Keychain/Passwörter, Browser-Sitzungen, 2FA-Tokens, Krypto-Wallets prüfen/erneuern.
5. Gerät mit vertrauenswürdigem EDR/AV scannen lassen; bei kompromittiertem Admin-Konto Neuaufsetzen erwägen.

Prävention: So schützen Sie sich nachhaltig

• Nie Einzeiler ins Terminal einfügen, nur weil eine Webseite das fordert – echte Supportseiten fordern das nicht.
• Sponsored-Suchtreffer meiden, wenn es um System-Fixes geht; stattdessen Apple Communities bzw. verifizierte Hersteller-Docs nutzen.
• Zwischenablage-Missbrauch unterbinden (browserseitige Schutzmaßnahmen/Extensions im Unternehmensumfeld).
• Least-Privilege: Alltagsarbeit im Standard- statt Admin-Konto; FileVault & Gatekeeper aktiv lassen.
• Security-Awareness für macOS: Infostealer fragen Passwörter häufig per legitimer System-Dialoge ab – Sensibilisierung hilft.

Zeitlinie

• 20. August 2025: CrowdStrike berichtet über blockierte Shamos-Kampagnen (300+ Umgebungen, One-Liner-Delivery, Fake-Help-Sites).
• 22. August 2025: BleepingComputer beleuchtet die ClickFix-Verbreitung über „Fake Mac Fixes“ samt Technikdetails.

Fazit

Shamos kombiniert ausgeklügeltes Social Engineering (ClickFix) mit technischer Raffinesse (Gatekeeper-Umgehung, Anti-VM, Persistenz) – und nutzt die trügerische Autorität von „Hilfe-Seiten“ und Anleitungen. Wer keine Terminal-Befehle von Webseiten ausführt, gesponserte Troubleshooting-Ergebnisse meidet und grundlegende macOS-Hygiene beachtet, nimmt dieser Kampagne den entscheidenden Hebel.

Ransomware und Cyber-Erpressung: Das…

44,90 EUR

Bei Amazon kaufen

Krisenfall Ransomware: Strategien für…

49,99 EUR

Bei Amazon kaufen

Quellen

1. BleepingComputer: Fake Mac fixes trick users into installing new Shamos infostealer (22.08.2025)
2. CrowdStrike: Falcon Platform Prevents COOKIE SPIDER’s SHAMOS Delivery on macOS (20.08.2025)
3. BleepingComputer: Inside a Real ClickFix Attack (31.07.2025)
4. The Hacker News: Malvertising spreads AMOS (07.09.2023)
5. Sophos: Atomic macOS Stealer background (06.09.2024)
6. Jamf: Infostealers & Passwort-Prompts (05.04.2024)
7. SecurityAffairs: 300+ Umgebungen betroffen (23.08.2025)
8. HackRead: COOKIE SPIDER malvertising (23.08.2025)
9. CyberSecurityNews: Technische Ablaufdetails (21.08.2025)
10. BleepingComputer: AMOS mit Backdoor (07.07.2025)

Über den Autor

Sebastian Schiebort

Administrator

Alle Beiträge anzeigen

Letzte Aktualisierung am 4.02.2026 / Affiliate Links / Bilder von der Amazon Product Advertising API. Alle hier angezeigten Preise und Verfügbarkeiten gelten zum angegebenen Zeitpunkt der Einbindung und können sich jederzeit ändern. Der Preis und die Verfügbarkeit, die zum Kaufzeitpunkt auf Amazon.de angezeigt werden, sind maßgeblich. Als Amazon-Partner verdienen wir an qualifizierten Verkäufen.