Інформаційні крадії Python для macOS
Фахівці з кібербезпеки б'ють тривогу через швидке поширення атак з викраденням інформації за межі Microsoft Windows на екосистеми Apple macOS. Зловмисники все частіше покладаються на кросплатформні мови програмування, такі як Python, та зловживають довіреними сервісами та рекламними платформами для поширення шкідливого програмного забезпечення у великих масштабах, що значно розширює область атаки.
Зміст
Соціальна інженерія підживлює кампанії з викрадання інформації в macOS
З кінця 2025 року численні кампанії були спрямовані на користувачів macOS за допомогою методів соціальної інженерії, зокрема ClickFix. Ці операції поширюють шкідливі інсталятори образів дисків (DMG), які використовують відомі сімейства програм-викрадників інформації macOS, включаючи Atomic macOS Stealer (AMOS), MacSync та DigitStealer. Доставка часто залежить від переконання користувачів вручну ініціювати процес зараження.
Зловживання рідною ОС macOS та прихована крадіжка даних
Після виконання ці загрози часто використовують безфайлові методи, вбудовані утиліти macOS та автоматизацію AppleScript, щоб уникнути виявлення та оптимізувати збір даних. Викрадена інформація зазвичай включає облікові дані та дані сеансу, що зберігаються в браузері, конфіденційні записи з в'язки ключів iCloud та секретні дані розробника, які можуть призвести до подальшого злому.
Шкідлива реклама як початковий вектор доступу
Багато з цих ланцюгів атак починаються зі шкідливої реклами, яка часто розміщується через Google Ads. Користувачі, які шукають легітимне програмне забезпечення, таке як утиліти DynamicLake або інструменти штучного інтелекту, перенаправляються на підроблені веб-сайти. Ці сайти використовують приманки ClickFix, які вказують жертвам виконувати команди копіювання та вставки або підказки інсталятора, що призводить до самостійного розгортання шкідливого програмного забезпечення.
Викрадачі Python забезпечують швидку адаптацію
Інфостилери на основі Python особливо привабливі для зловмисників завдяки своїй гнучкості та легкості повторного використання в різних операційних системах. Ці загрози зазвичай поширюються через фішингові електронні листи та призначені для збору широкого спектру конфіденційних активів, зокрема:
Облікові дані для входу, файли cookie сесії, токени автентифікації, дані кредитної картки та дані криптовалютного гаманця
Зловживання PXA-стелером та додатком для обміну повідомленнями
Одним із яскравих прикладів є PXA Stealer, який приписують в'єтнамським зловмисникам. Задокументовані кампанії жовтня та грудня 2025 року спиралися на фішингові електронні листи для початкового доступу та використовували ключі запуску реєстру або заплановані завдання для підтримки постійного доступу. Telegram використовувався для командно-контрольного зв'язку та витоку даних. Окремо зловмисники також використовували популярні платформи обміну повідомленнями, такі як WhatsApp, для розповсюдження шкідливого програмного забезпечення, такого як Eternidade Stealer, спрямованого на фінансові та криптовалютні рахунки, про що публічно розкрили у листопаді 2025 року.
Отруєння SEO та підроблене програмне забезпечення у Windows
Діяльність інфостейлерів не обмежується macOS. Паралельні кампанії використовували фальшиві редактори PDF, такі як Crystal PDF, що просувалися через шкідливу рекламу та отруєння пошукових систем. Ці атаки, орієнтовані на Windows, використовують крадіжки облікових даних, здатні непомітно витягувати файли cookie, інформацію про сеанси та кешовані облікові дані з Mozilla Firefox та Google Chrome.
Захисні заходи проти операцій інфостейлерів
Щоб зменшити вплив загроз, пов’язаних з викраданням інформації, організаціям рекомендується впроваджувати багаторівневі захисні заходи та ініціативи щодо підвищення обізнаності користувачів, зокрема:
- Навчання користувачів розпізнаванню ланцюжків переадресацій шкідливої реклами, шахрайських інсталяторів та запитів у стилі ClickFix
- Моніторинг незвичайної активності Терміналу, несанкціонованого доступу до зв'язки ключів iCloud та підозрілих вихідних POST-запитів до нещодавно зареєстрованих або аномальних доменів
Вплив компрометації інфостейлерів на бізнес
Успішні зараження інформаційними злодіями можуть мати далекосяжні наслідки. Викрадені облікові дані та дані сеансу можуть призвести до витоків даних, несанкціонованого доступу до внутрішніх систем, компрометації ділової електронної пошти, вторгнень у ланцюг поставок та подальших атак, таких як розгортання програм-вимагачів. Проактивне виявлення та навчання залишаються критично важливими для обмеження цих ризиків.
