Rabattoffert för flera licenser
Hotdatabas Mac Malware MacOS Python Infostealers

MacOS Python Infostealers

Med Mezo år Mac Malware, Stjälare
Översätt till:

Cybersäkerhetsspecialister oroar sig för en snabb expansion av informationsstöldattacker från Microsoft Windows till Apples macOS-ekosystem. Hotaktörer förlitar sig i allt högre grad på plattformsoberoende språk som Python och missbrukar betrodda tjänster och annonsplattformar för att distribuera skadlig kod i stor skala, vilket avsevärt breddar attackytan.

Social ingenjörskonst driver macOS-infostjälarkampanjer

Sedan slutet av 2025 har flera kampanjer riktat sig mot macOS-användare genom social ingenjörskonst, framför allt ClickFix. Dessa operationer distribuerar installationsprogram för skadliga diskavbildningar (DMG) som distribuerar välkända macOS-infostealerfamiljer, inklusive Atomic macOS Stealer (AMOS), MacSync och DigitStealer. Leveransen hänger ofta på att övertyga användare att själva manuellt starta infektionsprocessen.

Missbruk av inbyggda macOS-system och smygande datastöld

När dessa hot väl har körts förlitar de sig ofta på fillösa tekniker, inbyggda macOS-verktyg och AppleScript-automation för att undvika upptäckt och effektivisera datainsamling. Stulen information inkluderar ofta webbläsarlagrade inloggningsuppgifter och sessionsdata, känsliga poster från iCloud-nyckelringen och utvecklarrelaterade hemligheter som kan möjliggöra ytterligare intrång.

Skadlig reklam som initial åtkomstvektor

Många av dessa attackkedjor börjar med skadlig reklam, ofta levererad via Google Ads. Användare som söker efter legitim programvara, såsom DynamicLake-verktyg eller verktyg för artificiell intelligens, omdirigeras till förfalskade webbplatser. Dessa webbplatser använder ClickFix-lockbeten som instruerar offren att följa kopiera-klistra-kommandon eller installationsmeddelanden, vilket resulterar i självförvållad distribution av skadlig kod.

Python-stjälare möjliggör snabb anpassning

Python-baserade informationstjuvar är särskilt attraktiva för angripare på grund av deras flexibilitet och enkla återanvändning över olika operativsystem. Dessa hot distribueras vanligtvis via nätfiskemejl och är utformade för att stjäla ett brett spektrum av känsliga tillgångar, inklusive:

Inloggningsuppgifter, sessionscookies, autentiseringstokens, kreditkortsuppgifter och kryptovalutaplånboksdata

PXA-stöld och missbruk av meddelandeappar

Ett anmärkningsvärt exempel är PXA Stealer, som tillskrivs vietnamesisktalande hotaktörer. Dokumenterade kampanjer från oktober och december 2025 förlitade sig på nätfiskemeddelanden för initial åtkomst och utnyttjade registerkörnycklar eller schemalagda uppgifter för att upprätthålla beständighet. Telegram användes för kommando- och kontrollkommunikation och dataexfiltrering. Separat har hotaktörer också beväpnat populära meddelandeplattformar som WhatsApp för att distribuera skadlig kod som Eternidade Stealer, med sikte på finansiella konton och kryptovalutakonton, en kampanj som offentliggjordes i november 2025.

SEO-förgiftning och falsk programvara på Windows

Infostölder är inte begränsade till macOS. Parallella kampanjer har använt falska PDF-redigerare, som Crystal PDF, som marknadsförs genom skadlig annonsering och sökmotoroptimeringsförgiftning. Dessa Windows-fokuserade attacker använder autentiseringsuppgifter som i tysthet kan extrahera cookies, sessionsinformation och cachade autentiseringsuppgifter från Mozilla Firefox och Google Chrome.

Försvarsåtgärder mot informationsstöldoperationer

För att minska exponeringen för informationsstöldhot uppmuntras organisationer att implementera försvar i flera lager och initiativ för att öka användarmedvetenheten, inklusive:

  • Utbilda användare i att känna igen skadlig reklam för omdirigeringskedjor, bedrägliga installationsprogram och ClickFix-liknande uppmaningar
  • Övervakning av ovanlig terminalaktivitet, obehörig åtkomst till iCloud-nyckelringen och misstänkta utgående POST-förfrågningar till nyregistrerade eller avvikande domäner

Affärspåverkan av informationsstöldkompromisser

Framgångsrika infektioner med informationsstölder kan få långtgående konsekvenser. Stulna inloggningsuppgifter och sessionsdata kan möjliggöra dataintrång, obehörig åtkomst till interna system, kompromettering av företagets e-post, intrång i leveranskedjan och efterföljande attacker som ransomware-distributioner. Proaktiv upptäckt och utbildning är fortfarande avgörande för att begränsa dessa risker.

Trendigt

Mest sedda

Läser in...