Selon CrowdStrike, entre juin et août 2025, la plateforme Falcon a empêché une campagne de malware visant plus de 300 environnements clients, opérée par l’acteur eCrime COOKIE SPIDER et déployant SHAMOS, une variante d’Atomic macOS Stealer (AMOS).

• Le mode opératoire s’appuie sur du malvertising redirigeant vers de faux sites d’aide macOS (ex. mac-safer[.]com, rescue-mac[.]com) qui incitent les victimes à exécuter une commande d’installation one‑liner 🍎. Cette technique permet de contourner Gatekeeper et d’installer directement un binaire Mach‑O. Des campagnes similaires (Cuckoo Stealer et SHAMOS) avaient déjà exploité cette méthode via des annonces Homebrew entre mai 2024 et janvier 2025.

• Ciblage et leurres: des annonces ont touché des utilisateurs aux États‑Unis, Royaume‑Uni, Japon, Chine, Colombie, Canada, Mexique, Italie, etc., sans victimes en Russie (probablement en raison des règles des forums eCrime CIS). Un profil Google Ads usurpait l’identité d’un magasin d’électronique australien, tandis que d’autres campagnes utilisaient des dépôts GitHub malveillants se faisant passer pour des projets légitimes (ex. iTerm2).

• Chaîne d’infection: la commande malveillante télécharge un script Bash depuis https[:]//icloudservers[.]com/gm/install[.]sh (URL parfois Base64‑encodée) qui capture le mot de passe utilisateur, récupère SHAMOS depuis https[:]//icloudservers[.]com/gm/update, place le binaire dans /tmp, supprime les attributs étendus via xattr, applique chmod, puis exécute le stealer. SHAMOS exécute des anti‑VM, lance des AppleScript pour la reconnaissance et la collecte (portefeuilles crypto, Keychain, Apple Notes, navigateurs), et exfiltre les données via curl dans un ZIP nommé out.zip. Il peut télécharger des charges additionnelles (faux Ledger Live, module botnet), établir une persistance via com.finder.helper.plist (dans LaunchDaemons si sudo), et effectuer de multiples requêtes curl.

• Détection et chasse 🛡️: Falcon bloque la campagne via ML et IOAs dès le téléchargement et à l’exécution des scripts, et détecte aussi la collecte, la persistance, l’exécution de binaires et l’exfiltration. Des réglages de prévention sont recommandés (Suspicious process prevention, Intelligence‑sourced threat prevention) et des requêtes de chasse sont fournies (détection de scripts Bash combinant dscl/curl/xattr/chmod, exécution d’osascript par un binaire sous /tmp, et usage de curl POST avec out.zip).

• IOCs 🧩:

  • Domaines de malvertising: mac-safer[.]com, rescue-mac[.]com; GitHub: https[:]//github[.]com/jeryrymoore/Iterm2
  • URLs scripts Bash: https[:]//icloudservers[.]com/gm/install[.]sh, https[:]//macostutorial[.]com/iterm2/install[.]sh
  • URLs SHAMOS: https[:]//icloudservers[.]com/gm/update, https[:]//macostutorial[.]com/iterm2/update
  • SHA256 scripts Bash: 231c4bf14c4145be77aa4fef36c208891d818983c520ba067dda62d3bbbf547f; eb7ede285aba687661ad13f22f8555aab186debbadf2c116251cb269e913ef68
  • SHA256 SHAMOS Mach‑O: 4549e2599de3011973fde61052a55e5cdb770348876abc82de14c2d99575790f; b01c13969075974f555c8c88023f9abf891f72865ce07efbcee6c2d906d410d5; a4e47fd76dc8ed8e147ea81765edc32ed1e11cff27d138266e3770c7cf953322; 95b97a5da68fcb73c98cd9311c56747545db5260122ddf6fae7b152d3d802877

• TTPs (MITRE ATT&CK) 🗂️:

  • T1583.001 Acquire Infrastructure: Domains — enregistrement de faux domaines d’aide macOS
  • T1189 Drive‑by Compromise — distribution via malvertising
  • T1204 User Execution — exécution manuelle d’une commande installatrice
  • T1027.010 Command Obfuscation — URL du script en Base64
  • T1105 Ingress Tool Transfer — téléchargement de SHAMOS depuis une URL externe

Il s’agit d’une analyse de menace publiée par CrowdStrike visant à documenter la campagne, ses mécanismes d’infection, les capacités de détection/Prévention Falcon, ainsi que les IOCs et requêtes de chasse associées.

🧠 TTPs et IOCs détectés

TTP

[‘T1583.001 Acquire Infrastructure: Domains’, ‘T1189 Drive-by Compromise’, ‘T1204 User Execution’, ‘T1027.010 Command Obfuscation’, ‘T1105 Ingress Tool Transfer’]

IOC

{‘domains’: [‘mac-safer[.]com’, ‘rescue-mac[.]com’, ‘github[.]com/jeryrymoore/Iterm2’], ‘urls’: [‘https[:]//icloudservers[.]com/gm/install[.]sh’, ‘https[:]//macostutorial[.]com/iterm2/install[.]sh’, ‘https[:]//icloudservers[.]com/gm/update’, ‘https[:]//macostutorial[.]com/iterm2/update’], ‘sha256’: [‘231c4bf14c4145be77aa4fef36c208891d818983c520ba067dda62d3bbbf547f’, ’eb7ede285aba687661ad13f22f8555aab186debbadf2c116251cb269e913ef68’, ‘4549e2599de3011973fde61052a55e5cdb770348876abc82de14c2d99575790f’, ‘b01c13969075974f555c8c88023f9abf891f72865ce07efbcee6c2d906d410d5’, ‘a4e47fd76dc8ed8e147ea81765edc32ed1e11cff27d138266e3770c7cf953322’, ‘95b97a5da68fcb73c98cd9311c56747545db5260122ddf6fae7b152d3d802877’]}

🔗 Source originale : https://www.crowdstrike.com/en-us/blog/falcon-prevents-cookie-spider-shamos-delivery-macos/