In den letzten Monaten haben Drohungsteams einen Paradigmenwechsel gesehen: Kampagnen, die Anmeldeinformationen und Geheimnisse stehlen, sind nicht mehr ein exklusives Windows-Problem und beginnen, in macOS zu leben. Laut dem Sicherheitsforschungsteam von Microsoft nutzen Angreifer mehrsprachige Sprachen wie Python und vertrauenswürdige Vertriebsnetzwerke, um Apple-Nutzer mit betrügerischen Installateuren und Techniken zu infizieren, die traditionelle Erkennung vermeiden.
Die Eingangstür ist in der Regel ein gut poliertes Stück Sozialtechnik. böswillige Anzeigen und Seiten gebaut, um wie legitime Downloads aussehen, führen Opfer auf der Suche nach beliebten Tools - zum Beispiel IA-bezogene Dienstprogramme oder Bibliotheken - zu DMG-Format-Installatoren, die bei der Ausführung Familien von MacOS-spezifischen Infostealern bereitstellen. Microsoft-Dokumente Kampagnen, die ClickFix-Typ Zwiebeln verwenden, eine Technik, die den Benutzer zum Kopieren und Einfügen von Befehlen oder zu installieren, was er denkt, ist eine Korrektur oder ein nützliches Werkzeug; das Ergebnis ist die Selbstinfektion des Computers mit Malware in der Lage, Passwörter, Cookies und andere Geheimnisse zu filtern.
Zu den in den Berichten erschienenen Namen gehören Familien wie Atomic macOS Stealer (AMOS), MacSync und DigitStealer. In anderen Fällen erleichtern die gleichen Python-basierten Werkzeuge die Wiederverwendung und Anpassung des Codes für mehrere Betriebssysteme, was die Expansion dieser Angriffe auf heterogene Umgebungen beschleunigt. Microsoft erklärt diese Beobachtungen in seiner technischen Analyse näher: Infosters ohne Grenzen.
Die Angreifer-Technik ist nicht auf die Installation einer böswilligen binären beschränkt: viele Kampagnen verwenden die Ausführung ohne persistente Dateien, Resort zu nativen macOS-Dienstprogramme und AppleScript, um schädliche Aufgaben zu automatisieren und das System zu manipulieren, um sensible Informationen wie Browser-gestützte Anmeldeinformationen, Sitzungsdaten und iCloud Keychain-Elemente zu sammeln. Das Risiko ist nicht nur der Verlust von persönlichen Passwörtern; es gibt auch geheime Entwicklung und Token, die Zugang zu interner Infrastruktur ermöglichen, die zu großen Intrusionen, Corporate Mail Suplantations (BEC), Supply Chain Attacken oder sogar Erpressung und Ransomware führen kann.
Die Massenverteilung geht oft durch Maldumping und SEO Poising: Kampagnen, die für Anzeigen zahlen oder die Suchergebnisse manipulieren, um auf verstopfte Seiten von beliebten Werkzeugen umzuleiten. Google Ads und andere Anzeigenplattformen wurden als Vektoren erwähnt, die ohne zusätzliche Benutzerbewertung zu offensichtlich legitimen Downloads führen können. Um zu verstehen, wie schädliche Anzeigen und Werbung Inventarqualität Praktiken beeinflussen dies, lesen Sie Google Ads Richtlinien und Empfehlungen auf schädliche Inhalte: Google Ads-Politik.
Die Kampagnen haben auch geografische und operative Variationen gezeigt: Zum Beispiel haben Forscher bestimmte Steler, die in Python an vietnamesischsprachige Akteure geschrieben wurden, verknüpft und die Nutzung von Messaging-Diensten wie Telegram auf Kanalbefehle und Filterdaten dokumentiert. In anderen Vorfällen wurde WhatsApp verwendet, um böswillige Links zu verbreiten, die zu irreführenden Einrichtungen führen, wie von Vorfallsreaktionsteams in der öffentlichen Analyse über diese Malware-Familien berichtet.
Was kann eine Person oder Organisation tun, um sich zu schützen? Zuerst, Misstrauen Installateure, die hinter Klicks in Anzeigen oder Websites erscheinen, die bekannte Werkzeuge imitieren. In macOS achten Sie auf native Sicherheitskontrollen - wie Gatekeeper - und stellen Sie sicher, dass Software nur von verifizierten Entwicklern oder aus dem App Store installiert wird, reduziert die Angriffsfläche. Apple hält die Dokumentation über iCloud Keychain und seine Sicherheitsmaßnahmen, dass es nützlich ist, zu überprüfen: Was ist iCloud Keychain?. Darüber hinaus begrenzt die Aktualisierung des Betriebssystems und der Sicherheitssignaturen sowie die Verwendung von Passwörtern und Multifaktor-Authentifizierungsmanagern den Schaden, wenn ein Anmeldeteil beeinträchtigt wird.
Von der technischen Erfassungsposition sollten Sicherheitsteams auf atypisches Verhalten in Terminal, nicht garantierte AppleScript-Ausführungen, Schlüsselzugriff (Keychain) durch unerwartete Prozesse und Ausgabeverkehr einschließlich POST-Anforderungen an neu registrierte oder relegierte Domains achten. Überwachung von Egress und Korrelation mit schädlichen Domänen-Geheimdiensten helfen, Lecks zu identifizieren, bevor sie zu großen Vorfällen werden. Es ist auch nützlich, Phishing-Antwortführer und Anmelde-Theft-Techniken von nationalen Sicherheitsteams veröffentlicht zu überprüfen, wie die NCSC Empfehlungen: Tipps zum Phishing.
In gemischten Umgebungen, wo macOS und Windows koexistieren, verwenden Angreifer die gleichen Infektionsketten, um Stealer auf jeder Plattform einzusetzen. In Windows ist es nicht selten, die Beharrlichkeit durch Registrierungsschlüssel oder programmierte Aufgaben zu sehen; in macOS Beharrlichkeit kann versuchen, hinter Benutzer Agenten oder Cron Jobs zu tarnen. Daher kombiniert effektiver Schutz Prävention, Erkennung und schnelle Reaktion: kontinuierliche Schulung von Benutzern auf Social Engineering, technische Kontrollen, die die Ausführung von nicht autorisierten Software- und Netzwerkregeln beschränken, um Domänen und Dienstleistungen von bösartigen Akteuren zu blockieren.
Die Forscher warnen, dass die Eskalation solcher Angriffe - angetrieben durch wiederverwendbare Sprachen wie Python und die Ausbeutung legitimer Vertriebskanäle - die Bedrohung schnell entwickelt. Für Sicherheitsbeamte und Manager ist es unerlässlich, die Umsetzungsleitlinien zu halten, Netzwerksegmentierung anzuwenden, eine solide Authentifizierung erforderlich und regelmäßig den Zugriff auf Codegeheimnisse und Repositories zu überprüfen. Transparenz in Vorfallberichten und der Austausch von Indikatoren für das Engagement unter Organisationen beschleunigen die kollektive Reaktionsfähigkeit dieser Kampagnen.
Kurz gesagt, die Kombination von schädlicher Werbung, falschen Installateuren und Multi-Plattform-Stecker ist eine Erinnerung: Sicherheit ist nicht nur vom Betriebssystem abhängig. Die Prävention geht durch eine geschulte menschliche Schicht, aktuelle Verteidigungswerkzeuge und Netzwerke und Endpunkte Kontrollen, die anormale Verhaltensweisen erkennen, bevor die Angreifer wertvolle Informationen einnehmen.
Um das Lesen zu erweitern und die ursprüngliche Microsoft-Analyse zu konsultieren, können Sie hier auf den technischen Bericht zugreifen: Microsoft Security Blog. Für praktische Anleitungen zur Vermeidung von Phishing und Exfiltration von Anmeldeinformationen ist die NCSC-Ressourcensammlung sehr nützlich: NCSC - Phishing. Und wenn Sie die Richtlinien und Empfehlungen zu schädlichen Anzeigen und Praktiken auf Werbeplattformen überprüfen möchten, sehen Sie die Google Ads Dokumentation: Google Ads Politik.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...