MacOS Python 資訊竊取器
網路安全專家發出警告,資訊竊取攻擊正迅速從微軟Windows系統擴展到蘋果macOS生態系統。攻擊者越來越依賴Python等跨平台語言,並濫用可信任服務和廣告平台大規模傳播惡意軟體,顯著擴大了攻擊面。
目錄
社會工程學助長了macOS資訊竊取活動
自 2025 年底以來,多起攻擊活動利用社會工程學手段針對 macOS 用戶,其中最引人注目的是 ClickFix。這些攻擊活動會分發惡意磁碟映像 (DMG) 安裝程序,這些程式會部署一些知名的 macOS 資訊竊取程序,包括 Atomic macOS Stealer (AMOS)、MacSync 和 DigitStealer。其傳播策略通常是誘騙使用者手動啟動感染過程。
macOS原生系統濫用和隱藏資料竊取
一旦執行,這些威脅通常會利用無檔案技術、macOS 原生工具和 AppleScript 自動化來逃避偵測並簡化資料收集流程。被盜資訊通常包括瀏覽器儲存的憑證和會話資料、iCloud 鑰匙圈中的敏感條目以及可能導致進一步攻擊的開發者相關金鑰。
惡意廣告作為初始訪問途徑
許多此類攻擊鏈始於惡意廣告,這些廣告通常透過Google廣告投放。搜尋合法軟體(例如 DynamicLake 實用程式或人工智慧工具)的使用者會被重新導向到仿冒網站。這些網站利用 ClickFix 的誘餌,指示受害者按照複製貼上的命令或安裝程式的提示操作,最終導致惡意軟體自行部署。
Python竊取器實現快速適應
基於 Python 的資訊竊取程式因其靈活性和易於在不同作業系統上重複使用而對攻擊者極具吸引力。這些威脅通常透過網路釣魚郵件傳播,旨在竊取各種敏感資產,包括:
登入憑證、會話 cookie、身份驗證令牌、信用卡詳細資訊和加密貨幣錢包數據
PXA竊取器和即時通訊應用濫用
一個值得注意的例子是 PXA Stealer,該惡意軟體被認為是越南語攻擊者所為。記錄在案的攻擊活動發生在 2025 年 10 月和 12 月,攻擊者利用網路釣魚郵件獲取初始存取權限,並利用註冊表運行鍵或計劃任務來維持持久性。他們使用 Telegram 進行命令控制通訊和資料竊取。此外,攻擊者還利用 WhatsApp 等熱門即時通訊平台傳播 Eternidade Stealer 等惡意軟體,攻擊目標是金融和加密貨幣帳戶。該攻擊活動於 2025 年 11 月公開披露。
Windows 系統上的 SEO 投毒和假軟體
資訊竊取活動並非僅限於 macOS。其他攻擊活動也使用了偽造的 PDF 編輯器,例如 Crystal PDF,並透過惡意廣告和搜尋引擎優化投毒進行推廣。這些針對 Windows 的攻擊會部署憑證竊取程序,這些程式能夠靜默地從 Mozilla Firefox 和 Google Chrome 中提取 cookie、會話資訊和快取的憑證。
針對資訊竊取行動的防禦措施
為降低資訊竊取威脅的風險,建議各組織實施多層防禦措施和使用者安全意識提升計劃,包括:
- 訓練使用者識別惡意廣告重定向鏈、詐欺性安裝程式和 ClickFix 式提示
- 監控異常終端活動、未經授權存取 iCloud 鑰匙圈以及向新註冊或異常網域發出的可疑出站 POST 請求
資訊竊取攻擊對業務的影響
資訊竊取程序成功入侵可能造成深遠影響。被盜的憑證和會話資料可能導致資料外洩、未經授權存取內部系統、商業電子郵件外洩、供應鏈入侵以及後續攻擊,例如勒索軟體部署。主動檢測和教育仍然是降低這些風險的關鍵。
