MacOS Python Infostealers
Cybersecurityspecialisten slaan alarm over een snelle uitbreiding van aanvallen gericht op het stelen van informatie, van Microsoft Windows naar het Apple macOS-ecosysteem. Kwaadwillenden maken steeds vaker gebruik van platformonafhankelijke programmeertalen zoals Python en misbruiken vertrouwde diensten en advertentieplatformen om malware op grote schaal te verspreiden, waardoor het aanvalsoppervlak aanzienlijk groter wordt.
Inhoudsopgave
Social engineering voedt infodiefstalcampagnes op macOS
Sinds eind 2025 zijn er meerdere campagnes geweest die zich richtten op macOS-gebruikers via social engineering-technieken, met name ClickFix. Deze operaties verspreiden kwaadaardige installatieprogramma's in de vorm van schijfkopieën (DMG's) die bekende macOS-infostealerfamilies installeren, waaronder Atomic macOS Stealer (AMOS), MacSync en DigitStealer. De verspreiding is vaak gebaseerd op het overtuigen van gebruikers om het infectieproces handmatig te starten.
Misbruik van native macOS-functies en heimelijke gegevensdiefstal
Eenmaal uitgevoerd, maken deze bedreigingen vaak gebruik van technieken zonder bestanden, native macOS-hulpprogramma's en AppleScript-automatisering om detectie te omzeilen en het verzamelen van gegevens te stroomlijnen. Gestolen informatie omvat doorgaans inloggegevens en sessiegegevens die in de browser zijn opgeslagen, gevoelige gegevens uit de iCloud-sleutelbos en ontwikkelaarsgeheimen die verdere inbreuken mogelijk kunnen maken.
Malvertising als initiële toegangsvector
Veel van deze aanvalsketens beginnen met kwaadaardige advertenties, vaak via Google Ads. Gebruikers die op zoek zijn naar legitieme software, zoals DynamicLake-hulpprogramma's of tools voor kunstmatige intelligentie, worden doorgestuurd naar vervalste websites. Deze sites gebruiken ClickFix-lokmiddelen die slachtoffers instrueren om kopieer- en plakopdrachten of installatieprompts te volgen, wat resulteert in de zelf geïnstalleerde malware.
Python-stealers maken snelle aanpassing mogelijk.
Op Python gebaseerde infostealers zijn bijzonder aantrekkelijk voor aanvallers vanwege hun flexibiliteit en het gemak waarmee ze op verschillende besturingssystemen kunnen worden hergebruikt. Deze bedreigingen worden vaak verspreid via phishing-e-mails en zijn ontworpen om een breed scala aan gevoelige gegevens te verzamelen, waaronder:
Inloggegevens, sessiecookies, authenticatietokens, creditcardgegevens en gegevens van cryptowallets.
PXA-diefstal en misbruik van berichtenapps
Een opvallend voorbeeld is PXA Stealer, toegeschreven aan Vietnamees sprekende cybercriminelen. Gedocumenteerde campagnes uit oktober en december 2025 maakten gebruik van phishing-e-mails voor de eerste toegang en benutten registersleutels of geplande taken om persistentie te behouden. Telegram werd gebruikt voor command-and-control-communicatie en data-exfiltratie. Daarnaast hebben cybercriminelen ook populaire berichtenplatforms zoals WhatsApp ingezet om malware zoals Eternidade Stealer te verspreiden, gericht op financiële en cryptovaluta-accounts. Deze campagne werd in november 2025 openbaar gemaakt.
SEO-vergiftiging en nepsoftware op Windows
Infostealer-activiteiten beperken zich niet tot macOS. Parallelle campagnes hebben gebruikgemaakt van nep-PDF-editors, zoals Crystal PDF, die werden gepromoot via malvertising en zoekmachineoptimalisatie. Deze op Windows gerichte aanvallen zetten programma's in die in staat zijn om stilletjes cookies, sessiegegevens en opgeslagen inloggegevens te stelen uit Mozilla Firefox en Google Chrome.
Verdedigingsmaatregelen tegen informatiediefstaloperaties
Om de blootstelling aan bedreigingen van infostealers te verminderen, worden organisaties aangemoedigd om gelaagde verdedigingsmechanismen en initiatieven ter bevordering van gebruikersbewustzijn te implementeren, waaronder:
- Gebruikers trainen om malvertising-redirectketens, frauduleuze installatieprogramma's en ClickFix-achtige meldingen te herkennen.
- Het monitoren van ongebruikelijke terminalactiviteit, ongeautoriseerde toegang tot de iCloud-sleutelbos en verdachte uitgaande POST-verzoeken naar nieuw geregistreerde of afwijkende domeinen.
De zakelijke impact van een Infostealer-aanval
Succesvolle infecties met infostealers kunnen verstrekkende gevolgen hebben. Gestolen inloggegevens en sessiedata kunnen leiden tot datalekken, ongeautoriseerde toegang tot interne systemen, compromittering van zakelijke e-mail, inbreuken op de toeleveringsketen en vervolgaanvallen zoals ransomware. Proactieve detectie en voorlichting blijven cruciaal om deze risico's te beperken.
