macOS Python Infostealers

متخصصان امنیت سایبری نسبت به گسترش سریع حملات سرقت اطلاعات فراتر از مایکروسافت ویندوز به اکوسیستم‌های اپل macOS هشدار می‌دهند. عاملان تهدید به طور فزاینده‌ای به زبان‌های برنامه‌نویسی چند پلتفرمی مانند پایتون متکی هستند و از سرویس‌ها و پلتفرم‌های تبلیغاتی معتبر برای توزیع بدافزار در مقیاس بزرگ سوءاستفاده می‌کنند و به طور قابل توجهی سطح حمله را گسترش می‌دهند.

مهندسی اجتماعی، کمپین‌های سرقت اطلاعات macOS را تقویت می‌کند

از اواخر سال ۲۰۲۵، چندین کمپین، کاربران macOS را از طریق تکنیک‌های مهندسی اجتماعی، به‌ویژه ClickFix، هدف قرار داده‌اند. این عملیات، نصب‌کننده‌های مخرب تصویر دیسک (DMG) را توزیع می‌کنند که خانواده‌های شناخته‌شده‌ی دزد اطلاعات macOS، از جمله Atomic macOS Stealer (AMOS)، MacSync و DigitStealer را مستقر می‌کنند. این فرآیند اغلب به متقاعد کردن کاربران برای شروع دستی فرآیند آلودگی توسط خودشان بستگی دارد.

سوءاستفاده از macOS بومی و سرقت مخفیانه داده‌ها

این تهدیدها پس از اجرا، اغلب برای جلوگیری از شناسایی و ساده‌سازی جمع‌آوری داده‌ها، به تکنیک‌های بدون فایل، ابزارهای بومی macOS و اتوماسیون AppleScript متکی هستند. اطلاعات سرقت‌شده معمولاً شامل اعتبارنامه‌ها و داده‌های جلسه ذخیره‌شده در مرورگر، ورودی‌های حساس از iCloud Keychain و اسرار مربوط به توسعه‌دهنده است که می‌تواند امکان نفوذ بیشتر را فراهم کند.

تبلیغات مخرب به عنوان بردار دسترسی اولیه

بسیاری از این زنجیره‌های حمله با تبلیغات مخرب آغاز می‌شوند که اغلب از طریق تبلیغات گوگل ارائه می‌شوند. کاربرانی که به دنبال نرم‌افزارهای قانونی مانند ابزارهای DynamicLake یا ابزارهای هوش مصنوعی هستند، به وب‌سایت‌های جعلی هدایت می‌شوند. این سایت‌ها از فریب‌های ClickFix استفاده می‌کنند که به قربانیان دستور می‌دهد دستورات کپی-پیست یا پیام‌های نصب را دنبال کنند و در نتیجه بدافزار خود را مستقر می‌کنند.

سارقان پایتون سازگاری سریع را ممکن می‌سازند

بدافزارهای سرقت اطلاعات مبتنی بر پایتون به دلیل انعطاف‌پذیری و سهولت استفاده مجدد در سیستم‌عامل‌های مختلف، برای مهاجمان بسیار جذاب هستند. این تهدیدات معمولاً از طریق ایمیل‌های فیشینگ توزیع می‌شوند و برای جمع‌آوری طیف وسیعی از دارایی‌های حساس، از جمله موارد زیر، طراحی شده‌اند:

اطلاعات ورود به سیستم، کوکی‌های جلسه، توکن‌های احراز هویت، جزئیات کارت اعتباری و داده‌های کیف پول ارز دیجیتال

سرقت PXA و سوءاستفاده از اپلیکیشن پیام‌رسان

یک نمونه قابل توجه، PXA Stealer است که به عوامل تهدید ویتنامی زبان نسبت داده می‌شود. کمپین‌های مستند شده از اکتبر و دسامبر ۲۰۲۵ برای دسترسی اولیه به ایمیل‌های فیشینگ متکی بودند و از کلیدهای اجرای رجیستری یا وظایف برنامه‌ریزی شده برای حفظ پایداری استفاده می‌کردند. از تلگرام برای ارتباطات فرماندهی و کنترل و استخراج داده‌ها استفاده می‌شد. به طور جداگانه، عوامل تهدید همچنین از پلتفرم‌های پیام‌رسان محبوب مانند واتس‌اپ برای توزیع بدافزارهایی مانند Eternidade Stealer استفاده کرده‌اند و حساب‌های مالی و ارزهای دیجیتال را هدف قرار داده‌اند، کمپینی که در نوامبر ۲۰۲۵ به طور عمومی افشا شد.

مسمومیت سئو و نرم‌افزارهای جعلی در ویندوز

فعالیت سارق اطلاعات محدود به macOS نیست. کمپین‌های موازی از ویرایشگرهای PDF جعلی، مانند Crystal PDF، استفاده کرده‌اند که از طریق تبلیغات مخرب و مسمومیت با بهینه‌سازی موتور جستجو تبلیغ می‌شوند. این حملات متمرکز بر ویندوز، سارقان اعتبارنامه را به کار می‌گیرند که قادرند کوکی‌ها، اطلاعات جلسه و اعتبارنامه‌های ذخیره شده را از Mozilla Firefox و Google Chrome به صورت مخفیانه استخراج کنند.

اقدامات دفاعی در برابر عملیات سرقت اطلاعات

برای کاهش مواجهه با تهدیدات سارقان اطلاعات، به سازمان‌ها توصیه می‌شود که دفاع‌های لایه‌ای و ابتکارات آگاهی‌بخشی به کاربران را پیاده‌سازی کنند، از جمله:

• آموزش کاربران برای تشخیص زنجیره‌های تغییر مسیر تبلیغات مخرب، نصب‌کننده‌های جعلی و اعلان‌های به سبک ClickFix
• نظارت بر فعالیت‌های غیرمعمول ترمینال، دسترسی غیرمجاز به iCloud Keychain و درخواست‌های خروجی مشکوک POST به دامنه‌های تازه ثبت‌شده یا غیرعادی

تأثیر تجاری نفوذ به سیستم دزد اطلاعات

آلودگی‌های موفق به بدافزارهای سرقت اطلاعات می‌تواند عواقب گسترده‌ای داشته باشد. سرقت اطلاعات احراز هویت و داده‌های نشست ممکن است منجر به نقض داده‌ها، دسترسی غیرمجاز به سیستم‌های داخلی، نفوذ به ایمیل‌های تجاری، نفوذ به زنجیره تأمین و حملات بعدی مانند استقرار باج‌افزار شود. تشخیص و آموزش پیشگیرانه برای محدود کردن این خطرات همچنان حیاتی است.