Oferta rabatowa na wiele licencji
Baza danych zagrożeń Malware na Maca MacOS Python Infostealers

MacOS Python Infostealers

Do Mezo w Malware na Maca, Złodzieje
Przetłumacz na:

Specjaliści ds. cyberbezpieczeństwa biją na alarm z powodu gwałtownego rozprzestrzeniania się ataków kradzieży informacji, wykraczających poza system Microsoft Windows, na ekosystemy Apple macOS. Aktorzy zagrożeń coraz częściej wykorzystują języki wieloplatformowe, takie jak Python, i nadużywają zaufanych usług oraz platform reklamowych do dystrybucji złośliwego oprogramowania na dużą skalę, znacznie zwiększając powierzchnię ataku.

Inżynieria społeczna napędza kampanie macOS Infostealer

Od końca 2025 roku wiele kampanii było wymierzonych w użytkowników systemu macOS za pomocą technik socjotechnicznych, w szczególności ClickFix. Operacje te dystrybuują złośliwe instalatory obrazów dysków (DMG), które wdrażają znane rodziny programów do kradzieży informacji (infostealer) systemu macOS, w tym Atomic macOS Stealer (AMOS), MacSync i DigitStealer. Dostarczenie często opiera się na przekonaniu użytkowników do ręcznego zainicjowania procesu infekcji.

Natywne nadużycia systemu macOS i ukryta kradzież danych

Po uruchomieniu, zagrożenia te często wykorzystują techniki bezplikowe, natywne narzędzia systemu macOS i automatyzację AppleScript, aby uniknąć wykrycia i usprawnić gromadzenie danych. Skradzione informacje zazwyczaj obejmują dane uwierzytelniające i dane sesji przechowywane w przeglądarce, poufne wpisy z pęku kluczy iCloud oraz tajne dane programistów, które mogą umożliwić dalsze ataki.

Malvertising jako początkowy wektor dostępu

Wiele z tych łańcuchów ataków rozpoczyna się od złośliwych reklam, często dostarczanych za pośrednictwem Google Ads. Użytkownicy poszukujący legalnego oprogramowania, takiego jak narzędzia DynamicLake czy narzędzia sztucznej inteligencji, są przekierowywani na podszywające się strony internetowe. Strony te wykorzystują przynęty ClickFix, które instruują ofiary, aby wykonały polecenia kopiuj-wklej lub wyświetliły monity instalatora, co skutkuje samoistną instalacją złośliwego oprogramowania.

Złodzieje Pythona umożliwiają szybką adaptację

Oparte na Pythonie programy do kradzieży informacji są szczególnie atrakcyjne dla atakujących ze względu na swoją elastyczność i łatwość ponownego wykorzystania w różnych systemach operacyjnych. Zagrożenia te są powszechnie rozpowszechniane za pośrednictwem wiadomości phishingowych i mają na celu przechwycenie szerokiego zakresu wrażliwych zasobów, w tym:

Dane logowania, pliki cookie sesji, tokeny uwierzytelniające, dane karty kredytowej i dane portfela kryptowalutowego

PXA Stealer i nadużycia aplikacji do przesyłania wiadomości

Jednym z godnych uwagi przykładów jest PXA Stealer, przypisywany wietnamskojęzycznym cyberprzestępcom. Udokumentowane kampanie z października i grudnia 2025 roku opierały się na wiadomościach phishingowych w celu uzyskania dostępu i wykorzystywały klucze rejestru Run lub zaplanowane zadania do utrzymania trwałości. Telegram był wykorzystywany do komunikacji typu command-and-control oraz do eksfiltracji danych. Osobno cyberprzestępcy wykorzystywali również popularne platformy komunikacyjne, takie jak WhatsApp, do dystrybucji złośliwego oprogramowania, takiego jak Eternidade Stealer, atakując konta finansowe i kryptowalutowe. Kampania ta została ujawniona publicznie w listopadzie 2025 roku.

Zatrucie SEO i fałszywe oprogramowanie w systemie Windows

Aktywność oszustów nie ogranicza się do systemu macOS. Równoległe kampanie wykorzystywały fałszywe edytory PDF, takie jak Crystal PDF, promowane za pomocą złośliwych reklam i zatruwania optymalizacji wyszukiwarek. Te ataki ukierunkowane na system Windows wykorzystują programy do kradzieży danych uwierzytelniających, które potrafią dyskretnie wyodrębniać pliki cookie, informacje o sesjach i dane uwierzytelniające z pamięci podręcznej przeglądarek Mozilla Firefox i Google Chrome.

Środki obronne przeciwko operacjom kradzieży informacji

Aby ograniczyć narażenie na zagrożenia związane ze złodziejami informacji, organizacje są zachęcane do wdrożenia wielowarstwowych zabezpieczeń i inicjatyw zwiększających świadomość użytkowników, w tym:

  • Szkolenie użytkowników w zakresie rozpoznawania łańcuchów przekierowań złośliwych reklam, fałszywych instalatorów i monitów w stylu ClickFix
  • Monitorowanie nietypowej aktywności terminala, nieautoryzowanego dostępu do pęku kluczy iCloud oraz podejrzanych żądań POST wychodzących do nowo zarejestrowanych lub nietypowych domen

Wpływ naruszenia bezpieczeństwa danych na biznes

Skuteczne infekcje typu infostealer mogą mieć daleko idące konsekwencje. Skradzione dane uwierzytelniające i dane sesji mogą umożliwić wycieki danych, nieautoryzowany dostęp do systemów wewnętrznych, naruszenie bezpieczeństwa firmowej poczty e-mail, włamania do łańcucha dostaw i późniejsze ataki, takie jak ataki ransomware. Proaktywne wykrywanie i edukacja pozostają kluczowe dla ograniczenia tych zagrożeń.

Popularne

Oszustwo związane z aktualizacją systemu poczty...

Phishing, Spam
Zachowanie czujności jest niezbędne, gdy nieoczekiwane e-maile sugerują konieczność natychmiastowego działania. Cyberprzestępcy często wykorzystują poczucie pilności i strach, aby skłonić odbiorców do podjęcia pochopnych decyzji. Tak zwane e-maile z aktualizacją systemu poczty internetowej (Webmail System Update) są wyraźnym przykładem tej taktyki. Wiadomości te nie są powiązane z żadnymi...

Oszustwo e-mailowe z powiadomieniem o awarii domeny

Phishing, Spam
Zachowanie czujności w przypadku nieoczekiwanych wiadomości e-mail jest niezbędne. Cyberprzestępcy często wykorzystują zaufanie i poczucie pilności, aby nakłonić odbiorców do podjęcia szkodliwych decyzji. Wiadomości typu scam są często starannie sporządzone, aby wyglądały na wiarygodne, mimo że nie są powiązane z żadnymi prawdziwymi firmami, organizacjami ani dostawcami usług. Jednym z takich...

Najczęściej oglądane

Ładowanie...