MacOS Python Infostealers
Spesialister på nettsikkerhet slår alarm om en rask ekspansjon av informasjonsstjelende angrep utover Microsoft Windows til Apple macOS-økosystemer. Trusselaktører er i økende grad avhengige av plattformuavhengige språk som Python og misbruker pålitelige tjenester og reklameplattformer for å distribuere skadelig programvare i stor skala, noe som utvider angrepsflaten betydelig.
Innholdsfortegnelse
Sosial manipulering gir næring til macOS-infostealerkampanjer
Siden slutten av 2025 har flere kampanjer rettet seg mot macOS-brukere gjennom sosial manipulering, spesielt ClickFix. Disse operasjonene distribuerer ondsinnede diskavbildningsinstallasjonsprogrammer (DMG) som distribuerer kjente macOS-infostealerfamilier, inkludert Atomic macOS Stealer (AMOS), MacSync og DigitStealer. Levering avhenger ofte av å overbevise brukerne om å starte infeksjonsprosessen manuelt selv.
Misbruk av opprinnelig macOS og skjult datatyveri
Når disse truslene først er utført, bruker de ofte filløse teknikker, innebygde macOS-verktøy og AppleScript-automatisering for å unngå deteksjon og effektivisere datainnsamling. Stjålet informasjon inkluderer ofte nettleserlagrede legitimasjonsoplysninger og øktdata, sensitive oppføringer fra iCloud-nøkkelringen og utviklerrelaterte hemmeligheter som kan muliggjøre ytterligere kompromittering.
Skadelig reklame som den første tilgangsvektoren
Mange av disse angrepskjedene starter med ondsinnede annonser, ofte levert gjennom Google Ads. Brukere som søker etter legitim programvare, for eksempel DynamicLake-verktøy eller kunstig intelligens-verktøy, blir omdirigert til forfalskede nettsteder. Disse nettstedene bruker ClickFix-lokkemidler som instruerer ofrene til å følge kopier-lim-inn-kommandoer eller installasjonsveiledninger, noe som resulterer i selvpåført distribusjon av skadelig programvare.
Python-stjelere muliggjør rask tilpasning
Python-baserte infotyvere er spesielt attraktive for angripere på grunn av deres fleksibilitet og enkle gjenbruk på tvers av forskjellige operativsystemer. Disse truslene distribueres ofte via phishing-e-poster og er utformet for å høste et bredt spekter av sensitive ressurser, inkludert:
Påloggingsinformasjonskapsler, øktinformasjonskapsler, autentiseringstokener, kredittkortdetaljer og kryptovaluta-lommebokdata
PXA-tyveri og misbruk av meldingsapper
Et bemerkelsesverdig eksempel er PXA Stealer, som tilskrives vietnamesisktalende trusselaktører. Dokumenterte kampanjer fra oktober og desember 2025 var avhengige av phishing-e-poster for initial tilgang og utnyttet registernøkler eller planlagte oppgaver for å opprettholde varighet. Telegram ble brukt til kommando-og-kontroll-kommunikasjon og datautvinning. Separat har trusselaktører også utnyttet populære meldingsplattformer som WhatsApp som våpen for å distribuere skadelig programvare som Eternidade Stealer, rettet mot finansielle og kryptovalutakontoer, en kampanje som ble offentliggjort i november 2025.
SEO-forgiftning og falsk programvare på Windows
Infotyveriaktivitet er ikke begrenset til macOS. Parallelle kampanjer har brukt falske PDF-redigeringsprogrammer, som Crystal PDF, promotert gjennom skadelig annonsering og søkemotoroptimaliseringsforgiftning. Disse Windows-fokuserte angrepene bruker legitimasjonstyvere som er i stand til å stille trekke ut informasjonskapsler, øktinformasjon og hurtigbufret legitimasjon fra Mozilla Firefox og Google Chrome.
Forsvarstiltak mot informasjonstyveri
For å redusere eksponering for trusler fra informasjonstyveri, oppfordres organisasjoner til å implementere lagdelte forsvarsmekanismer og brukerbevissthetsinitiativer, inkludert:
- Opplæring av brukere i å gjenkjenne skadelig reklame, falske installasjonsprogrammer og ClickFix-lignende ledetekster
- Overvåking av uvanlig terminalaktivitet, uautorisert tilgang til iCloud-nøkkelringen og mistenkelige utgående POST-forespørsler til nyregistrerte eller avvikende domener
Forretningsmessig innvirkning av kompromisser med informasjonstyvere
Vellykkede informasjonstyverinfeksjoner kan ha vidtrekkende konsekvenser. Stjålne legitimasjonsopplysninger og øktdata kan muliggjøre datainnbrudd, uautorisert tilgang til interne systemer, kompromittering av forretnings-e-post, inntrenging i forsyningskjeden og påfølgende angrep som ransomware-distribusjoner. Proaktiv deteksjon og opplæring er fortsatt avgjørende for å begrense disse risikoene.
