Информационные угонщики выходят за рамки Windows: Массовые атаки на macOS, Python и злоупотребление доверенными платформами

Социальная инженерия и файловые угонщики атакуют macOS

Пользователи macOS всё чаще становятся мишенью через поддельные сайты, которые продвигаются через Google Ads или вредоносную рекламу. Эти ресурсы обманом заставляют жертв либо загружать фальшивые приложения, либо копировать и вставлять команды в терминал в рамках так называемых атак типа «ClickFix». Таким способом распространяются три основные вредоносные программы для macOS: DigitStealer (маскируется под ПО DynamicLake), MacSync (доставляется через команды терминала) и Atomic macOS Stealer (AMOS, скрывается в установщиках поддельных инструментов ИИ). Все три собирают одни и те же типы данных: учетные данные браузеров, сохраненные пароли, информацию о криптокошельках и секреты разработчиков. Затем украденная информация отправляется на серверы злоумышленников, а следы заражения удаляются. Использование нативных утилит macOS и автоматизация через AppleScript позволяют этим угрозам эффективно обходить традиционные средства защиты.

Эпидемия угонщиков на Python, нацеленных на организации

Параллельно растет угроза со стороны информационных угонщиков, написанных на Python. Эта тенденция обусловлена простотой языка, доступностью инструментов и возможностью быстрой адаптации кода для атак на разнородные среды. Такие вредоносные программы, как PXA Stealer, связываемый с вьетнамскоязычными угрозчиками, распространяются через фишинговые письма и собирают логины, пароли, сессионные куки, токены аутентификации, данные кредитных карт и криптокошельков. Для обеспечения устойчивости (persistence) и скрытности злоумышленники используют методы обфускации, подгрузку вредоносных DLL, маскировку интерпретатора Python под системный процесс и эксплуатацию подписанных законных бинарных файлов (Living off the Land Binaries, LOLBIN). Компрометация подобными угонщиками может привести к утечкам данных, несанкционированному доступу к внутренним системам, компрометации деловой переписки и последующим атакам с использованием программ-вымогателей (ransomware).

Злоупотребление WhatsApp и PDF-инструментами для распространения угроз

С конца 2025 года тактика злоупотребления доверенными платформами стала особенно популярной. В ноябре 2025 года эксперты обнаружили кампанию, использующую WhatsApp для распространения Eternidade Stealer. Атака начинается с запуска скрипта, который автоматизирует рассылку вредоносных вложений всем контактам жертвы через захваченный аккаунт, обеспечивая червеобразное распространение. Финальный модуль, доставляемый через вредоносный MSI-инсталлер, представляет собой угонщик на Delphi, который непрерывно отслеживает активные окна и процессы в поисках строк, связанных с банковскими порталами, платежными системами и криптобиржами. Другая кампания, обнаруженная в сентябре 2025 года, использовала вредоносную рекламу для продвижения поддельного PDF-редактора Crystal PDF. Установленное приложение тайно похищало файлы куков, сессионные данные и кэши учетных данных из браузеров Firefox и Chrome.

Рекомендации по защите и смягчению угроз

Для противодействия этим угрозам Microsoft рекомендует организациям применять комплексный подход. Во-первых, необходимо повышать осведомленность пользователей о методах социальной инженерии, включая поддельные установщики и подсказки «ClickFix» для macOS. Во-вторых, важно усилить защиту сред macOS, контролируя подозрительную активность в терминале, особенно цепочки команд с использованием curl, base64, osascript, и отслеживая аномальный доступ к связке ключей (Keychain) и хранилищам учетных данных браузеров. В-третьих, следует контролировать исходящий трафик на предмет POST-запросов к подозрительным доменам, что является ключевым индикатором компрометации.

Для защиты от угонщиков на Python и кроссплатформенных атак рекомендуется блокировать злоупотребление законными бинарными файлами (LOLBIN) и анализировать активность, связанную с AutoIt. Технические меры включают включение облачной защиты в Microsoft Defender Antivirus, активацию режима блокировки EDR, использование сетевой защиты и веб-защиты в Microsoft Defender для Конечной точки, а также применение SmartScreen в браузерах. Автоматизация реагирования и включение защиты от несанкционированного вмешательства позволят значительно повысить устойчивость инфраструктуры к этим быстро развивающимся угрозам, которые всё чаще пересекают границы операционных систем и каналов доставки.

IPv4

• 157.66.27.11
• 195.24.236.116
• 217.119.139.117

Domains

• 67e5143a9ca7d2240c137ef80f2641d6.pages.dev
• ai.foqguzz.com
• alli-ai.pro
• b93b559cf522386018e24069ff1a8b7a.pages.dev
• bagumedios.cloud
• barbermoo.coupons
• barbermoo.fun
• barbermoo.shop
• barbermoo.space
• barbermoo.today
• barbermoo.top
• barbermoo.world
• barbermoo.xyz
• booksmagazinetx.com
• day.foqguzz.com
• dynamiclake.org
• goldenticketsshop.com
• negmari.com
• ramiort.com
• strongdwn.com

URLs

• http://concursal.macquet.de/uid_page=244739642061129
• https://allecos.de/Documentación_del_expediente_de_derechos_de_autor_del_socio.zip
• https://bagumedios.cloud/assets/media/others/ADN/pure
• https://empautlipa.com/altor/installer.msi
• https://erik22.carrd.co
• https://erik22jomk77.card.co
• https://tickets.pfoten-prinz.de/uid_page=118759991475831

SHA256

• 08a1f4566657a07688b905739055c2e352e316e38049487e5008fc3d1253d03b
• 2c885d1709e2ebfcaa81e998d199b29e982a7559b9d72e5db0e70bf31b183a5f
• 3bc62aca7b4f778dabb9ff7a90fdb43a4fdd4e0deec7917df58a18eb036fac6e
• 3bd6a6b24b41ba7f58938e6eb48345119bbaf38cd89123906869fab179f27433
• 3e20ddb90291ac17cef9913edd5ba91cd95437da86e396757c9d871a82b1282a
• 42d51feea16eac568989ab73906bbfdd41641ee3752596393a875f85ecf06417
• 495697717be4a80c9db9fe2dbb40c57d4811ffe5ebceb9375666066b3dda73c3
• 59347a8b1841d33afdd70c443d1f3208dba47fe783d4c2015805bf5836cff315
• 5970d564b5b2f5a4723e548374d54b8f04728473a534655e52e5decef920e733
• 59855f0ec42546ce2b2e81686c1fbc51e90481c42489757ac03428c0daee6dfe
• 598da788600747cf3fa1f25cb4fa1e029eca1442316709c137690e645a0872bb
• 5d929876190a0bab69aea3f87988b9d73713960969b193386ff50c1b5ffeadd6
• 6168d63fad22a4e5e45547ca6116ef68bb5173e17e25fd1714f7cc1e4f7b41e1
• 9d867ddb54f37592fa0ba1773323e2ba563f44b894c07ebfab4d0063baa6e777
• a5b19195f61925ede76254aaad942e978464e93c7922ed6f064fab5aad901efc
• bdd2b7236a110b04c288380ad56e8d7909411da93eed2921301206de0cb0dda1
• c72f8207ce7aebf78c5b672b65aebc6e1b09d00a85100738aabb03d95d0e6a95
• da99f7570b37ddb3d4ed650bc33fa9fbfb883753b2c212704c10f2df12c19f63
• de07516f39845fb91d9b4f78abeb32933f39282540f8920fe6508057eedcbbea
• e7237b233fc6fda614e9e3c2eb3e03eeea94f4baf48fe8976dcc4bc9f528429e
• e965eb96df16eac9266ad00d1087fce808ee29b5ee8310ac64650881bc81cf39