MacOS Python 信息窃取器
网络安全专家发出警告,信息窃取攻击正迅速从微软Windows系统扩展到苹果macOS生态系统。攻击者越来越多地依赖Python等跨平台语言,并滥用可信服务和广告平台大规模传播恶意软件,显著扩大了攻击面。
目录
社会工程学助长了macOS信息窃取活动
自 2025 年末以来,多起攻击活动利用社会工程学手段针对 macOS 用户,其中最引人注目的是 ClickFix。这些攻击活动会分发恶意磁盘映像 (DMG) 安装程序,这些程序会部署一些知名的 macOS 信息窃取程序,包括 Atomic macOS Stealer (AMOS)、MacSync 和 DigitStealer。其传播策略通常是诱骗用户手动启动感染过程。
macOS原生系统滥用和隐蔽数据窃取
一旦执行,这些威胁通常利用无文件技术、macOS 原生工具和 AppleScript 自动化来逃避检测并简化数据收集流程。被盗信息通常包括浏览器存储的凭据和会话数据、iCloud 钥匙串中的敏感条目以及可能导致进一步攻击的开发者相关密钥。
恶意广告作为初始访问途径
许多此类攻击链始于恶意广告,这些广告通常通过谷歌广告投放。搜索合法软件(例如 DynamicLake 实用程序或人工智能工具)的用户会被重定向到仿冒网站。这些网站利用 ClickFix 的诱饵,指示受害者按照复制粘贴的命令或安装程序的提示操作,最终导致恶意软件自行部署。
Python窃取器实现快速适应
基于 Python 的信息窃取程序因其灵活性和易于在不同操作系统上重复使用而对攻击者极具吸引力。这些威胁通常通过网络钓鱼邮件传播,旨在窃取各种敏感资产,包括:
登录凭证、会话 cookie、身份验证令牌、信用卡详细信息和加密货币钱包数据
PXA窃取器和即时通讯应用滥用
一个值得注意的例子是 PXA Stealer,该恶意软件被认为是越南语攻击者所为。记录在案的攻击活动发生在 2025 年 10 月和 12 月,攻击者利用网络钓鱼邮件获取初始访问权限,并利用注册表运行键或计划任务来维持持久性。他们使用 Telegram 进行命令控制通信和数据窃取。此外,攻击者还利用 WhatsApp 等热门即时通讯平台传播 Eternidade Stealer 等恶意软件,攻击目标是金融和加密货币账户。该攻击活动于 2025 年 11 月公开披露。
Windows 系统上的 SEO 投毒和虚假软件
信息窃取活动并非仅限于 macOS。其他攻击活动也使用了伪造的 PDF 编辑器,例如 Crystal PDF,并通过恶意广告和搜索引擎优化投毒进行推广。这些针对 Windows 的攻击会部署凭据窃取程序,这些程序能够静默地从 Mozilla Firefox 和 Google Chrome 中提取 cookie、会话信息和缓存的凭据。
针对信息窃取行动的防御措施
为降低信息窃取威胁的风险,建议各组织实施多层防御措施和用户安全意识提升计划,包括:
- 培训用户识别恶意广告重定向链、欺诈性安装程序和 ClickFix 式提示
- 监控异常终端活动、未经授权访问 iCloud 钥匙串以及向新注册或异常域名发出的可疑出站 POST 请求
信息窃取攻击对业务的影响
信息窃取程序成功入侵可能造成深远影响。被盗的凭证和会话数据可能导致数据泄露、未经授权访问内部系统、商业电子邮件泄露、供应链入侵以及后续攻击,例如勒索软件部署。主动检测和教育仍然是降低这些风险的关键。
