MacOS Python Инфостилеры
Специалисты по кибербезопасности бьют тревогу по поводу быстрого распространения атак, направленных на кражу информации, за пределы экосистемы Microsoft Windows и в экосистему Apple macOS. Злоумышленники все чаще используют кроссплатформенные языки программирования, такие как Python, и злоупотребляют доверенными сервисами и рекламными платформами для распространения вредоносного ПО в больших масштабах, значительно расширяя поверхность атаки.
Оглавление
Социальная инженерия подпитывает кампании по краже информации в macOS.
Начиная с конца 2025 года, многочисленные кампании, направленные на пользователей macOS с использованием методов социальной инженерии, наиболее известной из которых является ClickFix, распространяют вредоносные установщики образов дисков (DMG), которые развертывают известные семейства программ для кражи информации macOS, включая Atomic macOS Stealer (AMOS), MacSync и DigitStealer. Распространение часто зависит от убеждения пользователей вручную запустить процесс заражения.
Злоупотребления в macOS и скрытая кража данных.
После запуска эти угрозы часто используют бесфайловые методы, встроенные утилиты macOS и автоматизацию AppleScript, чтобы избежать обнаружения и упростить сбор данных. Украденная информация обычно включает в себя учетные данные и данные сеанса, хранящиеся в браузере, конфиденциальные записи из связки ключей iCloud и секреты, связанные с разработчиками, которые могут привести к дальнейшей компрометации.
Вредоносная реклама как вектор первоначального доступа
Многие из этих цепочек атак начинаются со вредоносной рекламы, часто показываемой через Google Ads. Пользователи, ищущие легитимное программное обеспечение, такое как утилиты DynamicLake или инструменты искусственного интеллекта, перенаправляются на поддельные веб-сайты. На этих сайтах используются приманки ClickFix, которые инструктируют жертв следовать командам копирования и вставки или подсказкам установщика, что приводит к развертыванию вредоносного ПО.
Инструменты для перехвата Python обеспечивают быструю адаптацию.
Программы-похитители информации на основе Python особенно привлекательны для злоумышленников благодаря своей гибкости и простоте повторного использования в различных операционных системах. Эти угрозы обычно распространяются через фишинговые электронные письма и предназначены для сбора широкого спектра конфиденциальной информации, включая:
Учетные данные для входа, сессионные файлы cookie, токены аутентификации, данные кредитной карты и данные криптовалютного кошелька.
Похищение PXA-устройств и злоупотребление приложениями для обмена сообщениями
Одним из ярких примеров является PXA Stealer, предположительно созданный вьетнамскоязычными злоумышленниками. Задокументированные кампании, проводившиеся в октябре и декабре 2025 года, использовали фишинговые электронные письма для первоначального доступа и задействовали ключи запуска реестра или запланированные задачи для поддержания активности. Telegram использовался для связи и управления, а также для кражи данных. Кроме того, злоумышленники использовали популярные мессенджеры, такие как WhatsApp, для распространения вредоносного ПО, например, Eternidade Stealer, нацеленного на финансовые и криптовалютные счета; эта кампания была публично раскрыта в ноябре 2025 года.
SEO-отравление и поддельное программное обеспечение в Windows
Атаки с использованием вредоносных программ для кражи информации не ограничиваются macOS. Параллельные кампании использовали поддельные редакторы PDF, такие как Crystal PDF, продвигаемые посредством вредоносной рекламы и отравления поисковой оптимизации. Эти атаки, ориентированные на Windows, используют программы для кражи учетных данных, способные незаметно извлекать файлы cookie, информацию о сеансах и кэшированные учетные данные из Mozilla Firefox и Google Chrome.
Меры защиты от операций по краже информации
Для снижения риска утечки информации организациям рекомендуется внедрять многоуровневую защиту и проводить мероприятия по повышению осведомленности пользователей, включая:
- Обучение пользователей распознаванию цепочек перенаправлений, мошеннических установщиков и подсказок в стиле ClickFix.
- Мониторинг необычной активности терминала, несанкционированного доступа к связке ключей iCloud и подозрительных исходящих POST-запросов к недавно зарегистрированным или аномальным доменам.
Влияние компрометации вредоносной программы на бизнес
Успешные заражения вредоносными программами, похищающими информацию, могут иметь далеко идущие последствия. Украденные учетные данные и данные сеансов могут привести к утечкам данных, несанкционированному доступу к внутренним системам, компрометации корпоративной электронной почты, нарушениям в цепочке поставок и последующим атакам, таким как развертывание программ-вымогателей. Проактивное обнаружение и обучение остаются критически важными для ограничения этих рисков.
