Rabattilbud med flere licenser
Trusseldatabase Mac Malware MacOS Python Infostealers

MacOS Python Infostealers

Med Mezo i Mac Malware, Tyvere
Oversæt til:

Cybersikkerhedsspecialister slår alarm over en hurtig udvidelse af informationsstjælende angreb ud over Microsoft Windows til Apple macOS-økosystemer. Trusselaktører er i stigende grad afhængige af tværplatformsprog som Python og misbruger betroede tjenester og reklameplatforme til at distribuere malware i stor skala, hvilket udvider angrebsfladen betydeligt.

Social manipulation fremmer macOS Infostealer-kampagner

Siden slutningen af 2025 har adskillige kampagner rettet mod macOS-brugere gennem social engineering-teknikker, især ClickFix. Disse operationer distribuerer ondsindede disk image (DMG) installationsprogrammer, der implementerer velkendte macOS infostealer-familier, herunder Atomic macOS Stealer (AMOS), MacSync og DigitStealer. Levering afhænger ofte af at overbevise brugerne om manuelt at starte infektionsprocessen selv.

Misbrug af indbygget macOS og skjult datatyveri

Når disse trusler først er udført, bruger de ofte filløse teknikker, native macOS-værktøjer og AppleScript-automatisering for at undgå opdagelse og strømline dataindsamling. Stjålne oplysninger omfatter ofte browserlagrede legitimationsoplysninger og sessionsdata, følsomme poster fra iCloud-nøgleringen og udviklerrelaterede hemmeligheder, der kan muliggøre yderligere kompromittering.

Malvertising som den indledende adgangsvektor

Mange af disse angrebskæder starter med ondsindede annoncer, ofte leveret via Google Ads. Brugere, der søger efter legitim software, såsom DynamicLake-værktøjer eller kunstig intelligens-værktøjer, omdirigeres til forfalskede websteder. Disse websteder bruger ClickFix-lokkemidler, der instruerer ofrene i at følge kopier-indsæt-kommandoer eller installationsvejledninger, hvilket resulterer i selvforskyldt malware-udrulning.

Python-stjælere muliggør hurtig tilpasning

Python-baserede infostealere er særligt attraktive for angribere på grund af deres fleksibilitet og nemme genbrug på tværs af forskellige operativsystemer. Disse trusler distribueres ofte via phishing-e-mails og er designet til at indsamle en bred vifte af følsomme aktiver, herunder:

Loginoplysninger, sessionscookies, godkendelsestokens, kreditkortoplysninger og kryptovaluta-walletdata

PXA-tyveri og misbrug af beskedapps

Et bemærkelsesværdigt eksempel er PXA Stealer, der tilskrives vietnamesisktalende trusselsaktører. Dokumenterede kampagner fra oktober og december 2025 var afhængige af phishing-e-mails for initial adgang og udnyttede registreringsdatabasenøgler eller planlagte opgaver for at opretholde persistens. Telegram blev brugt til kommando-og-kontrol-kommunikation og dataudvinding. Separat har trusselsaktører også brugt populære beskedplatforme som WhatsApp som våben til at distribuere malware som Eternidade Stealer, rettet mod finansielle og kryptovalutakonti, en kampagne der blev offentliggjort i november 2025.

SEO-forgiftning og falsk software på Windows

Infotælleraktivitet er ikke begrænset til macOS. Parallelle kampagner har brugt falske PDF-editorer, såsom Crystal PDF, promoveret gennem malvertising og søgemaskineoptimeringsforgiftning. Disse Windows-fokuserede angreb anvender legitimationsoplysninger, der er i stand til lydløst at udtrække cookies, sessionsoplysninger og cachelagrede legitimationsoplysninger fra Mozilla Firefox og Google Chrome.

Forsvarsforanstaltninger mod infotyveri

For at reducere eksponeringen for trusler fra infotyveri opfordres organisationer til at implementere lagdelte forsvarsforanstaltninger og brugerbevidsthedsinitiativer, herunder:

  • Træning af brugere i at genkende skadelig reklame, svigagtige installationsprogrammer og ClickFix-lignende prompts
  • Overvågning af usædvanlig Terminal-aktivitet, uautoriseret adgang til iCloud-nøgleringen og mistænkelige udgående POST-anmodninger til nyregistrerede eller anomale domæner

Forretningsmæssig indvirkning af infostealer-kompromittering

Succesfulde infostealer-infektioner kan have vidtrækkende konsekvenser. Stjålne legitimationsoplysninger og sessionsdata kan muliggøre databrud, uautoriseret adgang til interne systemer, kompromittering af virksomhedens e-mails, indtrængen i forsyningskæden og efterfølgende angreb såsom ransomware-implementeringer. Proaktiv detektion og uddannelse er fortsat afgørende for at begrænse disse risici.

Trending

Mest sete

Indlæser...