„macOS Python“ informacijos vagystės
Kibernetinio saugumo specialistai kelia nerimą dėl spartaus informacijos vagystės atakų plitimo ne tik „Microsoft Windows“, bet ir „Apple macOS“ ekosistemose. Grėsmių kūrėjai vis dažniau naudoja kelių platformų kalbas, tokias kaip „Python“, ir piktnaudžiauja patikimomis paslaugomis bei reklamos platformomis, kad platintų kenkėjiškas programas dideliu mastu, taip žymiai išplėsdami atakų paviršių.
Turinys
Socialinė inžinerija skatina „macOS“ informacijos vagysčių kampanijas
Nuo 2025 m. pabaigos daugybė kampanijų buvo nukreiptos į „macOS“ naudotojus, naudojant socialinės inžinerijos metodus, ypač „ClickFix“. Šios operacijos platina kenkėjiškų disko atvaizdų (DMG) diegimo programas, kurios diegia gerai žinomas „macOS“ informacijos vagysčių šeimas, įskaitant „Atomic macOS Stealer“ (AMOS), „MacSync“ ir „DigitStealer“. Programinės įrangos įgyvendinimas dažnai priklauso nuo to, ar vartotojai bus įtikinti patiems rankiniu būdu inicijuoti užkrėtimo procesą.
Gimtoji „macOS“ piktnaudžiavimas ir slapta duomenų vagystė
Įvykdytos šios grėsmės dažnai naudoja be failų technologijas, vietines „macOS“ programas ir „AppleScript“ automatizavimą, kad išvengtų aptikimo ir supaprastintų duomenų rinkimą. Pavogta informacija dažniausiai apima naršyklėje saugomus prisijungimo duomenis ir sesijos duomenis, slaptus įrašus iš „iCloud Keychain“ ir su kūrėjais susijusius slaptus raktus, kurie gali padėti toliau įsilaužti.
Kenkėjiška reklama kaip pradinės prieigos vektorius
Daugelis šių atakų grandinių prasideda kenkėjiškomis reklamomis, dažnai rodomomis per „Google Ads“. Vartotojai, ieškantys teisėtos programinės įrangos, tokios kaip „DynamicLake“ programos ar dirbtinio intelekto įrankiai, nukreipiami į netikras svetaines. Šiose svetainėse naudojami „ClickFix“ masalai, kurie nurodo aukoms vykdyti kopijavimo ir įklijavimo komandas arba diegimo programos raginimus, todėl pačios įdiegiamos kenkėjiškos programos.
Python vagystės leidžia greitai prisitaikyti
„Python“ pagrindu sukurtos informacijos vagystės yra ypač patrauklios užpuolikams dėl savo lankstumo ir lengvo pakartotinio panaudojimo skirtingose operacinėse sistemose. Šios grėsmės dažniausiai platinamos sukčiavimo el. laiškais ir yra skirtos surinkti įvairų jautrų turinį, įskaitant:
Prisijungimo duomenys, sesijos slapukai, autentifikavimo žetonai, kredito kortelės duomenys ir kriptovaliutos piniginės duomenys
PXA vagystės ir pranešimų programėlės piktnaudžiavimas
Vienas pastebimas pavyzdys yra „PXA Stealer“, priskiriama vietnamiečių kalba kalbantiems grėsmės veikėjams. Dokumentuotose 2025 m. spalio ir gruodžio mėn. kampanijose buvo remiamasi sukčiavimo el. laiškais, siekiant gauti pradinę prieigą, ir registro vykdymo raktais arba suplanuotomis užduotimis, siekiant išlaikyti duomenų saugumą. „Telegram“ buvo naudojama komandų ir valdymo komunikacijai bei duomenų nutekėjimui. Atskirai grėsmės veikėjai taip pat panaudojo populiarias pranešimų siuntimo platformas, tokias kaip „WhatsApp“, kad platintų kenkėjiškas programas, tokias kaip „Eternidade Stealer“, skirtas finansinėms ir kriptovaliutų sąskaitoms. Ši kampanija viešai buvo atskleista 2025 m. lapkritį.
SEO apsinuodijimas ir netikra programinė įranga sistemoje „Windows“
Informacijos vagysčių veikla neapsiriboja „macOS“. Lygiagrečiose kampanijose buvo naudojami netikri PDF redaktoriai, tokie kaip „Crystal PDF“, reklamuojami naudojant kenkėjišką reklamą ir paieškos sistemų optimizavimą. Šios „Windows“ skirtos atakos naudoja prisijungimo duomenų vagystes, galinčias tyliai išgauti slapukus, sesijos informaciją ir talpykloje saugomus prisijungimo duomenis iš „Mozilla Firefox“ ir „Google Chrome“.
Apsaugos priemonės nuo informacijos vagysčių operacijų
Siekiant sumažinti informacijos vagysčių grėsmių riziką, organizacijos raginamos įdiegti daugiasluoksnes apsaugos priemones ir vartotojų informavimo iniciatyvas, įskaitant:
- Mokyti vartotojus atpažinti kenkėjiškų reklamų peradresavimo grandines, nesąžiningus diegimo programas ir „ClickFix“ tipo raginimus
- Stebima neįprasta terminalo veikla, neteisėta prieiga prie „iCloud Keychain“ ir įtartinos siunčiamos POST užklausos į naujai užregistruotus arba anomalius domenus
Informacijos vagystės kompromitacijos poveikis verslui
Sėkmingos informacijos vagysčių užkrėtimo pasekmės gali turėti toli siekiančių pasekmių. Pavogti prisijungimo duomenys ir sesijos duomenys gali sudaryti sąlygas duomenų nutekėjimui, neteisėtai prieigai prie vidinių sistemų, verslo el. pašto pažeidimams, įsilaužimams į tiekimo grandinę ir tolesnėms atakoms, tokioms kaip išpirkos reikalaujančių programų diegimas. Proaktyvus aptikimas ir švietimas išlieka labai svarbūs siekiant apriboti šią riziką.
