HackerNews 编译,转载请注明出处:
微软警示,信息窃取类攻击正从 Windows 系统 “快速扩张” 至苹果 macOS 环境,攻击者借助 Python 等跨平台语言开发恶意程序,并滥用可信平台实现大规模分发。
微软 Defender 防御安全研究团队表示,自 2025 年末起,观测到针对 macOS 的信息窃取攻击活动,攻击者采用 ClickFix 等社会工程学手法,分发磁盘镜像(DMG)安装包,投放 Atomic macOS Stealer(AMOS)、MacSync、DigitStealer 等多个信息窃取恶意软件家族。
研究发现,此类攻击活动采用无文件执行、macOS 原生工具调用、 AppleScript 自动化等技术,助力数据窃取行为实施,窃取的数据包括浏览器登录凭证与会话数据、iCloud 钥匙串信息及开发者密钥等敏感内容。
此类攻击的起点通常是恶意广告(多通过谷歌广告投放),搜索 DynamicLake 工具、人工智能工具的用户会被重定向至搭载 ClickFix 诱导手段的虚假网站,进而被骗安装恶意软件,导致设备感染。
微软表示:“攻击者借助 Python 编写的信息窃取软件,可快速适配攻击场景、复用代码,以极低成本针对异构环境发起攻击,这类恶意软件通常通过钓鱼邮件分发,窃取目标包括登录凭证、会话 Cookie、认证令牌、信用卡信息及加密货币钱包数据。”
PXA 窃取器就是典型代表,该软件与越南语区威胁行为者相关联,可窃取登录凭证、金融信息及浏览器数据。微软指出,其已识别出两起 PXA 窃取器攻击活动,分别发生在 2025 年 10 月和 12 月,均以钓鱼邮件作为初始入侵途径。
攻击链条涉及使用注册表启动项或计划任务实现持久化,并利用 Telegram 进行命令与控制通信及数据外传。
此外,观测显示,恶意行为者还将 WhatsApp 等主流即时通讯应用武器化,用于分发 Eternidade Stealer 等恶意软件,进而非法访问受害者金融及加密货币账户。该攻击活动的相关细节已于 2025 年 11 月由 LevelBlue / Trustwave 团队公开披露。
其他窃取程序相关攻击则围绕 Crystal PDF 等虚假 PDF 编辑器展开,通过恶意广告及谷歌广告的搜索引擎优化(SEO)投毒进行分发,进而部署针对 Windows 的窃取程序,可隐蔽收集 Mozilla Firefox 与 Chrome 浏览器的 Cookie、会话数据及凭证缓存。
为应对信息窃取软件带来的威胁,微软建议企业开展用户安全教育,普及恶意广告重定向链路、虚假安装包、ClickFix 式复制粘贴诱导等社会工程学攻击的识别方法。同时建议监测可疑终端活动及 iCloud 钥匙串访问行为,核查网络出站流量中发往新注册或可疑域名的 POST 请求。
微软强调:“设备遭信息窃取软件攻陷后,可能引发数据泄露、内网非法访问、企业邮箱入侵、供应链攻击及勒索软件攻击等一系列严重后果。”
消息来源:thehackernews:
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文