MacOS Python крадци на информация
Специалистите по киберсигурност бият тревога заради бързото разрастване на атаките за кражба на информация отвъд Microsoft Windows в екосистемите на Apple macOS. Злонамерените лица все повече разчитат на междуплатформени езици като Python и злоупотребяват с надеждни услуги и рекламни платформи, за да разпространяват зловреден софтуер в голям мащаб, което значително разширява повърхността на атаката.
Съдържание
Социалното инженерство подхранва кампаниите за кражба на информация в macOS
От края на 2025 г. множество кампании са насочени към потребители на macOS чрез техники за социално инженерство, най-вече ClickFix. Тези операции разпространяват злонамерени инсталатори на дискови образи (DMG), които внедряват добре познати семейства крадци на информация за macOS, включително Atomic macOS Stealer (AMOS), MacSync и DigitStealer. Доставката често зависи от убеждаването на потребителите сами да инициират процеса на заразяване.
Злоупотреба с вграден macOS и скрита кражба на данни
След като бъдат изпълнени, тези заплахи често разчитат на техники без файлове, вградени помощни програми на macOS и автоматизация на AppleScript, за да избегнат откриването и да рационализират събирането на данни. Открадната информация обикновено включва съхранени в браузъра идентификационни данни и данни за сесии, чувствителни записи от iCloud Keychain и тайни, свързани с разработчици, които могат да позволят по-нататъшно компрометиране.
Злонамерената реклама като начален вектор за достъп
Много от тези вериги за атаки започват със злонамерени реклами, често показвани чрез Google Ads. Потребителите, търсещи легитимен софтуер, като например помощни програми DynamicLake или инструменти за изкуствен интелект, биват пренасочвани към фалшиви уебсайтове. Тези сайтове използват примамки ClickFix, които инструктират жертвите да следват команди за копиране и поставяне или подкани на инсталатора, което води до самоинсталиране на зловреден софтуер.
Крадците на Python позволяват бърза адаптация
Базираните на Python програми за кражба на информация са особено привлекателни за атакуващите поради своята гъвкавост и лекота на повторна употреба в различни операционни системи. Тези заплахи обикновено се разпространяват чрез фишинг имейли и са предназначени да събират широк спектър от чувствителни активи, включително:
Данни за вход, бисквитки за сесия, токени за удостоверяване, данни за кредитна карта и данни за портфейли с криптовалута
Злоупотреба с PXA Stealer и приложение за съобщения
Един забележителен пример е PXA Stealer, приписван на виетнамскоговорящи злонамерени лица. Документирани кампании от октомври и декември 2025 г. са разчитали на фишинг имейли за първоначален достъп и са използвали ключове за изпълнение в системния регистър или планирани задачи, за да поддържат постоянство. Telegram е бил използван за комуникация с командване и контрол и извличане на данни. Отделно, злонамерени лица са използвали като оръжие и популярни платформи за съобщения като WhatsApp, за да разпространяват зловреден софтуер като Eternidade Stealer, насочен към финансови и криптовалутни сметки, кампания, публично оповестена през ноември 2025 г.
SEO отравяне и фалшив софтуер в Windows
Активността на крадците на информация не се ограничава само до macOS. Паралелни кампании са използвали фалшиви PDF редактори, като Crystal PDF, промотирани чрез злонамерена реклама и отравяне на SEO оптимизацията. Тези атаки, фокусирани върху Windows, използват крадци на идентификационни данни, способни тихомълком да извличат „бисквитки“, информация за сесията и кеширани идентификационни данни от Mozilla Firefox и Google Chrome.
Защитни мерки срещу операции на кражба на информация
За да се намали излагането на заплахи от кражба на информация, организациите се насърчават да внедрят многопластови защити и инициативи за повишаване на осведомеността на потребителите, включително:
- Обучение на потребителите да разпознават вериги за пренасочване от злонамерена реклама, измамни инсталатори и подкани в стил ClickFix
- Мониторинг за необичайна активност в терминала, неоторизиран достъп до iCloud Keychain и подозрителни изходящи POST заявки към новорегистрирани или аномални домейни
Въздействие на компрометирането на информация от крадец на информация за бизнеса
Успешните инфекции с кражба на информация могат да имат дългосрочни последици. Откраднатите идентификационни данни и данни от сесии могат да доведат до нарушения на данните, неоторизиран достъп до вътрешни системи, компрометиране на бизнес имейли, прониквания във веригата за доставки и последващи атаки, като например внедряване на ransomware. Проактивното откриване и обучението остават от решаващо значение за ограничаване на тези рискове.
