Cómo eliminar el malware tipo ladrón Shamos de tu Mac

¿Qué tipo de malware es Shamos?

Shamos es una variante del AMOS (Atomic) stealer. Este programa malicioso ataca dispositivos macOS y busca robar datos confidenciales. Shamos existe al menos desde el verano de 2025. Fue desarrollado y se ofrece como MaaS (Malware-as-a-Service) por un grupo de actores maliciosos denominado «COOKIE SPIDER». El ladrón Shamos se ha propagado activamente a través de estafas ClickFix.

Descripción general del malware Shamos

En el momento de la investigación, Shamos se infiltraba en los sistemas a través de estafas de ClickFix. Se engaña a las víctimas para que copien/peguen y ejecuten un comando malicioso en Terminal, lo que desencadena la descarga de un archivo Bash script. Esta técnica permite eludir los controles de seguridad de Gatekeeper. Tras obtener las credenciales de inicio de sesión de la cuenta de usuario, el archivo descarga y ejecuta un archivo Mach-O que contiene Shamos.

El ladrón utiliza mecanismos antianálisis, como la detección de cuándo se inicia en una máquina virtual (Virtual Machine) o en un entorno sandbox. A continuación, comienza a recopilar datos relevantes del dispositivo. Shamos busca en el sistema archivos de interés, por ejemplo, los relacionados con contraseñas y carteras de criptomonedas.

Este programa también puede extraer información de Keychain (la aplicación nativa de Mac para almacenar contraseñas), la aplicación Notas y los navegadores. Normalmente, el software de robo de datos tiene como objetivo extraer la siguiente información de los navegadores: historiales de navegación y de motores de búsqueda, cookies de Internet, autocompletados (por ejemplo, datos de identificación personal, nombres de usuario, etc.), contraseñas, números de tarjetas de crédito/débito, etc.

Además, Shamos puede descargar/instalar programas o componentes maliciosos adicionales. Se ha observado que el ladrón introduce un módulo botnet y una aplicación falsa de monedero Ledger Live en los sistemas. Sin embargo, podría utilizarse para infiltrarse en otros contenidos.

En teoría, los programas capaces de provocar infecciones en cadena pueden introducir casi cualquier tipo de malware en los dispositivos (por ejemplo, troyanos, ransomware, mineros de criptomonedas, etc.). Aunque, en la práctica, estos programas suelen funcionar dentro de ciertas especificaciones o limitaciones.

En resumen, la presencia de software como Shamos en los dispositivos puede provocar múltiples infecciones del sistema, graves problemas de privacidad, pérdidas económicas y robo de identidad.

Infecciones por malware de tipo ladrón

Hemos escrito miles de artículos sobre malware; mac.c stealer, Odyssey, Cthulhu, Banshee y ROD son solo algunos de nuestros programas contra los ladrones. La información objetivo puede ser increíblemente amplia o limitada. Es más, los ladrones suelen utilizarse en combinación con otro malware, y las funciones de exfiltración de datos son muy frecuentes en general.

Sin embargo, independientemente de cómo funcione el software malicioso, su presencia en un sistema pone en peligro la integridad del dispositivo y la seguridad del usuario. Por lo tanto, todas las amenazas deben eliminarse inmediatamente tras su detección.

¿Cómo se infiltró Shamos en mi ordenador?

Como se ha mencionado anteriormente, Shamos se ha propagado a través de estafas de ClickFix. El elemento central de estas estafas es atraer a los usuarios para que copien/peguen y ejecuten un comando en Terminal. Se han detectado múltiples campañas de ClickFix con diferentes disfraces.

Se utilizaron anuncios maliciosos (malvertising) y técnicas de envenenamiento SEO para promocionar sitios web falsos de ayuda para Mac. Estas páginas pueden utilizar los nombres y marcas de empresas auténticas, creando así una impresión de legitimidad.

Los usuarios objetivo se encontraban en Estados Unidos, Reino Unido, Canadá, China, Colombia, Italia, Japón y México. Se observó una exclusión notable, Rusia, pero esto no es sorprendente, ya que muchos mercados online de MaaS (malware como servicio) tienen su sede en Rusia.

Las estafas de ClickFix que propagaban Shamos también se promocionaban a través de repositorios engañosos de GitHub. El señuelo consistía en promesas de descargas gratuitas de diversas herramientas específicas para Mac, como iTerm2, software de optimización, editores de vídeo, programas de audio, software CAD (diseño asistido por ordenador), herramientas de IA (inteligencia artificial), etc.

Sin embargo, el ladrón Shamos podría distribuirse utilizando otras técnicas. El phishing y las tácticas de ingeniería social son habituales en la proliferación de malware.

Aparte de las estafas, el malware se propaga ampliamente a través de descargas drive-by (sigilosas/engañosas), publicidad maliciosa, archivos adjuntos/enlaces maliciosos en correos spam (por ejemplo, correos electrónicos, mensajes privados/directos, etc.), canales de descarga sospechosos (por ejemplo, sitios web de software gratuito y de terceros, redes de intercambio peer-to-peer, etc.), programas/medios pirateados, herramientas de activación de software ilegales («cracks») y actualizaciones falsas.

Además, algunos programas maliciosos pueden propagarse por sí mismos a través de redes locales y dispositivos de almacenamiento extraíbles (por ejemplo, discos duros externos, unidades flash USB, etc.).

¿Cómo evitar la instalación de malware?

Recomendamos encarecidamente estar alerta al navegar, ya que Internet está lleno de contenidos engañosos y peligrosos. Hay que tratar con precaución los correos electrónicos y otros mensajes entrantes. No se deben abrir los archivos adjuntos o enlaces presentes en correos dudosos o irrelevantes, ya que pueden ser virulentos.

Otra recomendación es descargar solo desde fuentes oficiales y verificadas. Además, todos los programas deben activarse y actualizarse utilizando funciones/herramientas legítimas, ya que las obtenidas de terceros pueden contener malware.

Debemos hacer hincapié en la importancia de tener instalado y actualizado un antivirus de confianza. El software de seguridad debe utilizarse para realizar análisis periódicos del sistema y eliminar las amenazas y problemas detectados. Si su ordenador ya está infectado, le recomendamos que realice un análisis con Combo Cleaner Antivirus para Windows para eliminar automáticamente el malware infiltrado.

Páginas falsas utilizadas en estafas de ClickFix que propagan el malware Shamos (fuente de la imagen: CrowdStrike Cybersecurity Blog):

Eliminación automática instantánea de malware:

La eliminación manual de amenazas puede ser un proceso largo y complicado que requiere conocimientos informáticos avanzados. Combo Cleaner es una herramienta profesional para eliminar malware de forma automática, que está recomendado para eliminar malware. Descárguelo haciendo clic en el siguiente botón:

Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por RCS LT, la empresa matriz de PCRisk.

Menú rápido:

• ¿Qué es «Shamos»?
• Elimine los archivos y carpetas relacionados con PUA de OSX.
• Elimine las extensiones maliciosas de Safari.

Vídeo que muestra cómo eliminar el adware y los secuestradores de navegador de un ordenador Mac:

Eliminación de aplicaciones potencialmente no deseadas:

Elimine las aplicaciones potencialmente no deseadas de su carpeta «Aplicaciones»:

Haga clic en el icono Finder. En la ventana del Finder, seleccione «Aplicaciones». En la carpeta de aplicaciones, busque «MPlayerX», «NicePlayer» u otras aplicaciones sospechosas y arrástrelas a la Papelera. Después de eliminar las aplicaciones potencialmente no deseadas que causan anuncios en línea, escanee su Mac en busca de componentes no deseados restantes.

Preguntas frecuentes (FAQ)

Mi ordenador está infectado con el malware Shamos, ¿debo formatear mi dispositivo de almacenamiento para deshacerme de él?

No, la eliminación del ladrón Shamos no requiere formateo.

¿Cuáles son los mayores problemas que puede causar el malware Shamos?

Los peligros asociados a una infección dependen de las capacidades del malware y del modus operandi de los atacantes. Shamos es un ladrón que se dirige a datos vulnerables y puede causar infecciones en cadena. Por lo tanto, la presencia de este software puede provocar infecciones del sistema, graves problemas de privacidad, pérdidas económicas y robo de identidad.

¿Cuál es el propósito del malware Shamos?

La motivación más frecuente detrás de los ataques de malware es el beneficio económico. Otras posibles razones incluyen: atacantes que buscan diversión o venganza personal, interrupción de procesos (por ejemplo, sitios web, servicios, empresas, organizaciones, etc.), hacktivismo y motivaciones políticas/geopolíticas.

¿Cómo se infiltró el malware Shamos en mi ordenador?

Shamos se ha distribuido a través de múltiples campañas fraudulentas de ClickFix. No es improbable que existan otras técnicas de distribución. Por lo general, el malware se propaga a través de descargas inadvertidas, correos electrónicos/mensajes spam, publicidad maliciosa, canales de descarga dudosos (por ejemplo, sitios web de software gratuito y alojamiento de archivos gratuito, redes de intercambio P2P, etc.), herramientas de activación de software ilegal («cracks»), contenido pirateado y actualizaciones falsas. Algunos programas maliciosos pueden propagarse por sí mismos a través de redes locales y dispositivos de almacenamiento extraíbles.

¿Combo Cleaner me protegerá del malware?

Sí, Combo Cleaner es capaz de detectar y eliminar prácticamente todas las infecciones de malware conocidas. Recuerde que es esencial realizar un análisis completo del sistema, ya que los programas maliciosos sofisticados tienden a ocultarse en lo más profundo de los sistemas.