Мајкрософт предупредува: крадците на информации од Python дека го напаѓаат macOS преку лажни реклами и инсталатери

Мајкрософт предупреди дека нападите за кражба на информации „брзо се прошируваат“ надвор од Windows и сè почесто ги таргетираат Apple macOS околините, користејќи крос-платформски јазици како Python и злоупотребувајќи доверливи платформи за масовна дистрибуција.

Тимот за безбедносни истражувања на Microsoft Defender соопшти дека од крајот на 2025 година забележал кампањи со инфостилери насочени кон macOS, кои користат техники на социјален инженеринг како ClickFix за дистрибуција на DMG (disk image) инсталери што распоредуваат семејства на малициозен софтвер како Atomic macOS Stealer (AMOS), MacSync и DigitStealer.

Овие кампањи користат техники како извршување без датотеки (fileless execution), вградени macOS алатки и AppleScript автоматизација за олеснување на кражбата на податоци. Ова вклучува информации како акредитиви и сесиски податоци од веб-прелистувачи, iCloud Keychain и тајни за развој (developer secrets). Почетната точка на нападите често е злонамерна реклама, најчесто сервирана преку Google Ads, која ги пренасочува корисниците што пребаруваат алатки како DynamicLake и алатки за вештачка интелигенција (AI) кон лажни веб-страници што користат ClickFix мамки, измамувајќи ги корисниците сами да ги инфицираат своите уреди со малициозен софтвер.

„Python-базираните стилери им овозможуваат на напаѓачите брзо да се прилагодуваат, повторно да користат код и да таргетираат хетерогени околини со минимален напор“, соопшти Мајкрософт. „Тие најчесто се дистрибуираат преку фишинг е-пошта и собираат податоци за најава, сесиски колачиња, токени за автентикација, броеви на кредитни картички и податоци од крипто-паричници.“

Еден таков стилер е PXA Stealer, кој е поврзан со заканувачки актери што зборуваат виетнамски и може да собира акредитиви за најава, финансиски информации и податоци од прелистувачи. Мајкрософт соопшти дека идентификувал две кампањи со PXA Stealer во октомври 2025 и декември 2025 година, кои користеле фишинг е-пошта за почетен пристап.

Синџирите на напад вклучувале користење на registry Run клучеви или закажани задачи за одржување на перзистентност, како и Telegram за командно-контролна комуникација и ексфилтрација на податоци.

Дополнително, забележано е дека злонамерни актери ги злоупотребуваат популарни апликации за пораки како WhatsApp за дистрибуција на малициозен софтвер како Eternidade Stealer и за добивање пристап до финансиски и криптовалутни сметки. Детали за оваа кампања беа јавно документирани од LevelBlue/Trustwave во ноември 2025 година. Други напади поврзани со стилери се фокусирале на лажни PDF уредници како Crystal PDF, кои се дистрибуираат преку малициозно рекламирање (malvertising) и труење на оптимизацијата за пребарувачи (SEO poisoning) преку Google Ads, со цел распоредување на Windows-базиран стилер што тивко собира колачиња, сесиски податоци и кеширани акредитиви од прелистувачите Mozilla Firefox и Chrome.

За спротивставување на заканата од инфостилери, на организациите им се препорачува да ги едуцираат корисниците за напади од социјален инженеринг, како што се ланци на пренасочување преку малициозни реклами, лажни инсталери и ClickFix-стил копирај-залепи барања. Исто така се препорачува следење на сомнителна активност во Terminal и пристап до iCloud Keychain, како и проверка на излезниот мрежен сообраќај за POST барања кон новорегистрирани или сомнителни домени.

„Компромитирањето од инфостилери може да доведе до пробивање на податоци, неовластен пристап до внатрешни системи, компромитација на деловна е-пошта (BEC), напади врз синџирот на снабдување и ransomware напади“, соопшти Мајкрософт.

Извори:

• The Hacker News – Microsoft Warns Python Infostealers Target macOS via Fake Ads and Installers The Hacker News