MacOS Python Infostealers
Οι ειδικοί στον κυβερνοχώρο κρούουν τον κώδωνα του κινδύνου για την ταχεία επέκταση των επιθέσεων κλοπής πληροφοριών πέρα από τα Microsoft Windows στα οικοσυστήματα macOS της Apple. Οι απειλητικοί παράγοντες βασίζονται ολοένα και περισσότερο σε γλώσσες που λειτουργούν σε διάφορες πλατφόρμες, όπως η Python, και κάνουν κατάχρηση αξιόπιστων υπηρεσιών και πλατφορμών διαφήμισης για τη διανομή κακόβουλου λογισμικού σε μεγάλη κλίμακα, διευρύνοντας σημαντικά την επιφάνεια της επίθεσης.
Πίνακας περιεχομένων
Η Κοινωνική Μηχανική Τροφοδοτεί τις Καμπάνιες Infostealer του macOS
Από τα τέλη του 2025, πολλαπλές καμπάνιες έχουν στοχεύσει χρήστες macOS μέσω τεχνικών κοινωνικής μηχανικής, με πιο αξιοσημείωτη την ClickFix. Αυτές οι επιχειρήσεις διανέμουν κακόβουλα προγράμματα εγκατάστασης εικόνων δίσκου (DMG) που αναπτύσσουν γνωστές οικογένειες προγραμμάτων κλοπής πληροφοριών macOS, συμπεριλαμβανομένων των Atomic macOS Stealer (AMOS), MacSync και DigitStealer. Η υλοποίηση συχνά εξαρτάται από το να πειστούν οι χρήστες να ξεκινήσουν χειροκίνητα οι ίδιοι τη διαδικασία μόλυνσης.
Εγγενής κατάχρηση macOS και κρυφή κλοπή δεδομένων
Μόλις εκτελεστούν, αυτές οι απειλές βασίζονται συχνά σε τεχνικές χωρίς αρχεία, σε εγγενή βοηθητικά προγράμματα macOS και σε αυτοματισμούς AppleScript για να αποφύγουν τον εντοπισμό και να βελτιστοποιήσουν τη συλλογή δεδομένων. Οι κλεμμένες πληροφορίες περιλαμβάνουν συνήθως διαπιστευτήρια και δεδομένα περιόδου λειτουργίας που είναι αποθηκευμένα στο πρόγραμμα περιήγησης, ευαίσθητες καταχωρήσεις από το iCloud Keychain και μυστικά που σχετίζονται με προγραμματιστές και μπορούν να επιτρέψουν περαιτέρω παραβίαση.
Κακόβουλη διαφήμιση ως αρχικός φορέας πρόσβασης
Πολλές από αυτές τις αλυσίδες επιθέσεων ξεκινούν με κακόβουλες διαφημίσεις, που συχνά προβάλλονται μέσω των Google Ads. Οι χρήστες που αναζητούν νόμιμο λογισμικό, όπως βοηθητικά προγράμματα DynamicLake ή εργαλεία τεχνητής νοημοσύνης, ανακατευθύνονται σε πλαστογραφημένους ιστότοπους. Αυτοί οι ιστότοποι χρησιμοποιούν δολώματα ClickFix που καθοδηγούν τα θύματα να ακολουθούν εντολές αντιγραφής-επικόλλησης ή προτροπές εγκατάστασης, με αποτέλεσμα την αυτοπροκαλούμενη ανάπτυξη κακόβουλου λογισμικού.
Τα Python Stealers επιτρέπουν την ταχεία προσαρμογή
Τα infostealer που βασίζονται σε Python είναι ιδιαίτερα ελκυστικά για τους εισβολείς λόγω της ευελιξίας και της ευκολίας επαναχρησιμοποίησής τους σε διαφορετικά λειτουργικά συστήματα. Αυτές οι απειλές διανέμονται συνήθως μέσω email ηλεκτρονικού "ψαρέματος" (phishing) και έχουν σχεδιαστεί για να συλλέγουν ένα ευρύ φάσμα ευαίσθητων περιουσιακών στοιχείων, όπως:
Διαπιστευτήρια σύνδεσης, cookies περιόδου σύνδεσης, διακριτικά ελέγχου ταυτότητας, στοιχεία πιστωτικής κάρτας και δεδομένα πορτοφολιού κρυπτονομισμάτων
Κλοπή PXA και κατάχρηση εφαρμογής ανταλλαγής μηνυμάτων
Ένα αξιοσημείωτο παράδειγμα είναι το PXA Stealer, το οποίο αποδίδεται σε βιετναμέζους απειλητικούς παράγοντες. Οι καταγεγραμμένες εκστρατείες από τον Οκτώβριο και τον Δεκέμβριο του 2025 βασίζονταν σε email ηλεκτρονικού "ψαρέματος" (phishing) για αρχική πρόσβαση και αξιοποιούσαν κλειδιά εκτέλεσης μητρώου ή προγραμματισμένες εργασίες για να διατηρήσουν την επιμονή τους. Το Telegram χρησιμοποιήθηκε για επικοινωνίες διοίκησης και ελέγχου και εξαγωγή δεδομένων. Ξεχωριστά, οι απειλητικοί παράγοντες έχουν επίσης μετατρέψει σε όπλα δημοφιλείς πλατφόρμες ανταλλαγής μηνυμάτων, όπως το WhatsApp, για τη διανομή κακόβουλου λογισμικού όπως το Eternidade Stealer, στοχεύοντας οικονομικούς λογαριασμούς και λογαριασμούς κρυπτονομισμάτων, μια εκστρατεία που αποκαλύφθηκε δημόσια τον Νοέμβριο του 2025.
Δηλητηρίαση SEO και ψεύτικο λογισμικό στα Windows
Η δραστηριότητα των Infostealer δεν περιορίζεται στο macOS. Παράλληλες καμπάνιες έχουν χρησιμοποιήσει ψεύτικα προγράμματα επεξεργασίας PDF, όπως το Crystal PDF, τα οποία προωθούνται μέσω κακόβουλης διαφήμισης και δηλητηρίασης από τη βελτιστοποίηση μηχανών αναζήτησης. Αυτές οι επιθέσεις που επικεντρώνονται στα Windows αναπτύσσουν προγράμματα κλοπής διαπιστευτηρίων ικανά να εξάγουν σιωπηλά cookies, πληροφορίες περιόδου σύνδεσης και αποθηκευμένα διαπιστευτήρια από το Mozilla Firefox και το Google Chrome.
Αμυντικά μέτρα κατά των επιχειρήσεων κλοπής πληροφοριών
Για να μειωθεί η έκθεση σε απειλές κλοπής πληροφοριών, οι οργανισμοί ενθαρρύνονται να εφαρμόσουν πολυεπίπεδες άμυνες και πρωτοβουλίες ευαισθητοποίησης χρηστών, όπως:
- Εκπαίδευση χρηστών ώστε να αναγνωρίζουν αλυσίδες ανακατεύθυνσης κακόβουλων διαφημίσεων, δόλιους εγκαταστάτες και μηνύματα τύπου ClickFix
- Παρακολούθηση για ασυνήθιστη δραστηριότητα στο Τερματικό, μη εξουσιοδοτημένη πρόσβαση στο iCloud Keychain και ύποπτα εξερχόμενα αιτήματα POST σε νεοεγγεγραμμένους ή μη φυσιολογικούς τομείς
Επιχειρηματικός αντίκτυπος της παραβίασης του Infostealer
Οι επιτυχείς μολύνσεις από infostealer μπορούν να έχουν εκτεταμένες συνέπειες. Τα κλεμμένα διαπιστευτήρια και τα δεδομένα περιόδου σύνδεσης ενδέχεται να επιτρέψουν παραβιάσεις δεδομένων, μη εξουσιοδοτημένη πρόσβαση σε εσωτερικά συστήματα, παραβίαση εταιρικού email, εισβολές στην εφοδιαστική αλυσίδα και επακόλουθες επιθέσεις, όπως οι αναπτύξεις ransomware. Η προληπτική ανίχνευση και η εκπαίδευση παραμένουν κρίσιμες για τον περιορισμό αυτών των κινδύνων.
