锁定苹果电脑而来的窃资软件攻击行动，最近两到三个月有变多的现象，其中一款被称做AMOS Stealer或Atomic Stealer的恶意程序，在今年6月底出现变种Odyssey Stealer之后，如今有资安业者看到新的变种恶意程序出没，并提出警告。

在今年6月至8月，资安业者CrowdStrike侦测并拦截骇客组织Cookie Spider的攻击行动，这些骇客打造名为Shamos的AMOS Stealer变种，并透过恶意软件租用服务（Malware-as-a-Service）寻找打手，藉由ClickFix网钓手法入侵超过300个企业组织，试图挖掘敏感资讯及加密货币资产。

附带一提的是，上述手段能绕过macOS内建的防护机制Gatekeeper，而能将Mach-O执行档部署到受害电脑，从而让骇客能窃取浏览器、钥匙圈存取（Keychain）、备忘录存放的帐密资料，并洗劫加密货币钱包。

骇客锁定上网搜寻、试图解决电脑问题的Mac用户，透过恶意广告将他们带往冒牌的macOS用户技术自救网站，引诱受害者依照网页指示．执行仅有一行的恶意安装命令。受害者遍及美国、英国、日本、中国、哥伦比亚、加拿大、墨西哥、义大利等，但俄罗斯并未出现受害者。CrowdStrike认为，原因很有可能是网路犯罪论坛禁止恶意程序攻击俄罗斯及独立国协（CIS）用户。

但除了透过冒牌macOS用户技术自救网站散布窃资软件，骇客也以免费提供影片编辑软件、CAD工具、效能监控工具、人工智慧软件、听写软件为幌子，要使用者依照指示下载、安装，若是使用者照做，电脑就会被植入Shamos。

一旦使用者依照指示输入命令，电脑就会下载Shamos的Mach-O执行档到暂存资料夹，并透过公用程序xattr移除特定文件属性，而有机会绕过Gatekeeper的检查。接下来攻击者会使用系统公用程序chmod，替执行档指派特定权限，然后执行窃资软件。

在Shamos启动时，会检查是否在沙箱环境，然后利用AppleScript命令进行侦察及资料收集。值得留意的是，攻击者还能透过Shamos在受害电脑下载其他恶意程序，并指派能够执行的权限。