Компания CrowdStrike обнаружила масштабную вредоносную кампанию, в ходе которой поддельные страницы поддержки Apple распространяли вирус Shamos — разновидность программы Atomic Stealer. С июня по август 2025 года система CrowdStrike Falcon зафиксировала более 300 попыток заражения. За атакой стоит кибергруппа Cookie Spider, известная сдачей вредоносов в аренду по подписке.
Мошенники использовали метод malvertising — размещали фейковые страницы в платных результатах поисковой выдачи. Пользователи, искавшие, к примеру, как сбросить DNS-кэш на macOS, рисковали попасть на такую подделку. На сайте давалась «инструкция», предлагающая вставить команду в «Терминал». На первый взгляд — обычная рекомендация, но на деле — способ обойти Gatekeeper и поставить скрытый установщик.
Команда могла быть в открытом виде или зашифрована в Base64. В любом случае она запускала скрипт, который крал пароль, устанавливал бинарник Shamos и настраивал автозапуск через LaunchDaemons. Кроме этого, вредонос искал на Mac файлы с конфиденциальными данными — от записей в Keychain и заметок до криптокошельков. Похищенные данные архивировались и отправлялись через утилиту curl.
Исследователи также обнаружили, что вирус мог загружать фейковое приложение Ledger Live и модуль ботнета для расширения атаки. Для сокрытия активности он проверял, не выполняется ли в песочнице или виртуальной среде.
Кампания сработала по одной простой причине — злоумышленники обернули социальную инженерию в техно-жаргон. Страницы выглядели как официальные, и пользователи не задумывались о подмене. Использование рекламы в поиске позволило обойтись без фишинговых писем и торрентов.
Атака была нацелена исключительно на зарубежную аудиторию: Россия и страны бывшего СССР не пострадали.
CrowdStrike обнаружила атаку с помощью сочетания машинного обучения и поведенческого анализа. Были заблокированы ключевые этапы — от скачивания скрипта до его выполнения. Компания также опубликовала IOC (индикаторы компрометации), включая домены вроде mac-safer.com и rescue-mac.com, и рекомендовала проверить трафик и логи.
Что это значит для безопасности Mac
Хотя Apple позиционирует macOS как безопасную систему, такие случаи ставят эту репутацию под сомнение. Gatekeeper, призванный блокировать неподписанный софт, оказался бесполезен против однострочного скрипта. А простота установки с помощью одной команды — палка о двух концах: удобно для легального ПО, но открывает лазейку для атак.
CrowdStrike ожидает, что подобные методы будут использоваться и дальше — они эффективны, пока пользователи доверяют поисковой рекламе и копируют команды с незнакомых сайтов.
Как защититься
Пользователям Mac стоит избегать вставки команд в «Терминал» с сомнительных ресурсов. Лучше обращаться к официальной документации Apple или проверенным форумам. Также важно устанавливать ПО только из App Store или с сайтов проверенных разработчиков, регулярно обновлять macOS и использовать надёжное антивирусное ПО с защитой от скриптов — например, тот же CrowdStrike Falcon.
И главное — сохранять скепсис. Несколько минут на проверку источника могут спасти от потери личных данных и цифровых активов.
Ещё по теме: