Корпорация Microsoft предупредила о серьёзной эволюции вредоносных программ-воров данных (infostealers): они уже выходят за пределы Windows и активно атакуют компьютеры на Apple macOS, используя универсальный язык программирования Python и злоупотребляя доверенными каналами распространения.
Как работают эти атаки
Специалисты из Defender Security Research Team отметили, что с конца 2025 года злоумышленники запускают кампании по заражению macOS-устройств, в которых:
Жертву заманивают через поддельные объявления (malvertising), часто размещаемые в Google Ads.
Пользователю предлагают скачать и установить фальшивые инструменты (например, якобы "AI-утилиты" или "полезный софт"), но вместо них на компьютер попадает вредоносный образ диска (DMG).
На таких фальшивых сайтах применяются приёмы социальной инженерии, включая схемы вроде ClickFix, это когда пользователя убеждают выполнить определённые действия (например, скопировать-вставить команду в терминал), чтобы исправить проблему, но на деле это запускает вредоносный код.
Какие данные крадут
После запуска вредоносные программы способны похищать:
Логины и пароли из браузеров;
активные сессии и куки;
токены аутентификации;
данные из iCloud Keychain;
ключи для разработчиков и конфиденциальную информацию из облачных сред.
Угроза не только для macOS
Microsoft также подчёркивает, что Python используется злоумышленниками для создания мультиплатформенных ворующих программ, которые легко адаптируются и могут работать как на Windows, так и на других системах. Такие stealer-программы обычно распространяются через фишинговые письма, где пользователю предлагают загрузить вредоносный файл, а затем крадут:
учётные данные;
сессионные данные браузеров;
номера кредитных карт;
информацию о криптокошельках.
Примеры действующих кампаний
В отчёте Microsoft упоминаются реальные семейства вредоносного ПО, замеченные в последние месяцы:
PXA Stealer - связывается с группой злоумышленников, говорящих на вьетнамском языке, и собирает пароли, финансовые данные и браузерную информацию;
AMOS (Atomic macOS Stealer), MacSync и DigitStealer - активно применялись в macOS-кампаниях через фальшивые установщики;
В атаках также задействованы мессенджеры вроде WhatsApp. Злоумышленники распространяют вредоносные ссылки через чаты, чтобы доставить stealer на устройства;
Аналогичные кампании задокументированы исследователями из LevelBlue/Trustwave ещё в ноябре 2025 года.
Примеры других схем распространения
Помимо фальшивых установщиков, злоумышленники используют и другие пути:
Фейковые PDF-редакторы (например, под видом Crystal PDF), которые через malvertising перенаправляют на установку Windows-сталера, собирающего куки и сессионные данные из популярных браузеров;
Как защититься
Microsoft даёт несколько рекомендаций по снижению риска:
Обучайте пользователей тому, как распознавать социальную инженерию: подозрительные рекламы, цепочки переадресаций, запросы на ввод команд и поддельные установщики.
Следите за необычной активностью в терминале macOS и доступом к чувствительным хранилищам вроде iCloud Keychain.
Мониторьте исходящий сетевой трафик на предмет POST-запросов к недавно зарегистрированным или сомнительным доменам.
Почему это опасно
Инфостилеры представляют серьёзную угрозу: они могут привести не только к краже паролей, но и к:
утечкам корпоративных данных;
несанкционированному доступу к внутренним системам;
компрометации бизнес-почты;
атакам на цепочки поставок;
последующим атакам с вымогательским ПО (ransomware).
Источник: HN