Vor wenigen Jahren war das Denken an macOS als eine relativ sichere Plattform gegen Malware fast eine Gewissheit für viele Benutzer. Heute wird diese Wahrnehmung von Familien von schädlichen Software als Infostealer herausgefordert, deren Ziel ist nicht so viel zu zerstören Ausrüstung, um sie zu quetschen, um wertvolle Informationen zu extrahieren und es in schnelles Geld in illegale Märkte zu verwandeln. Ein jüngstes und besonders illustratives Beispiel ist der als AMOS bekannte Infostealer, der sich von einem in dunklen Web-Foren angekündigten Werkzeug zu einer wiederverwendbaren Komponente innerhalb einer viel breiteren kriminellen Wirtschaft entwickelt hat.
Die Infostealer funktionieren nicht als einfache "Viren": Sie fungieren als automatisierte Anmeldeinformationen Extraktoren, aktive Sitzungen, Kryptomoneda-Portfolios und sensible Dokumente. Sobald Sie auf einem Opfer-Maschine ausgeführt, gehen Sie durch Browser, System Anmeldeinformationen Speicher, Messaging-Anwendungen, Tastaturen und lokale Dateien, um alles zu sammeln, was Wert für einen Angreifer hat. Diese gestohlene Datenbank ist nicht das Ende des Prozesses, sondern der Rohstoff: die daraus resultierenden Aufzeichnungen - was die Industrie "Stealer Logs" nennt - werden in geheimen Märkten und geschlossenen Kanälen verkauft oder ausgetauscht, wo verschiedene Akteure diese benutzen, um die Kontrolle, leere Portfolios oder den offenen Zugang für nachfolgende Operationen zu berücksichtigen.
Der Fall von AMOS dient als Röntgenaufnahme der Funktionsweise dieser Bedrohungen. Seit seinem ersten Auftritt in Telegram Foren wurde sein Kit als Service mit Management-Panels, Senden von Protokollen durch Telegram und Zahlungsoptionen in Kryptomonedas angeboten. Im Laufe der Zeit, Entwickler und Affiliate angepasst ihr Angebot und machte es zu einem Dienst, dass andere Kriminelle mieten können, um Malware zu verbreiten, während spezialisierte Käufer Platten kaufen, um Betrug oder Unternehmensnetzwerk-Zugang. Diese Fragmentierung der Arbeit - einige Entwicklung, einige Verteilung und andere Monetarisierung - ist einer der Gründe, warum diese Kampagnen so skalierbar geworden sind.
Was AMOS und ähnliche Kampagnen besonders gefährlich macht, ist nicht so sehr eine extreme technische Raffinesse, sondern die Fähigkeit, menschliches Vertrauen und legitime Kanäle auszunutzen. In den letzten Monaten haben wir eine Reihe von Taktiken gesehen, die es bestätigen: von falschen Repositories auf Entwicklungsplattformen, die legitime Installateure replizieren und in Suchergebnissen erscheinen, bis zur Einführung von schädlichen "Skills" in die Erweiterungsmärkte für IA persönliche Assistenten. In einem der genialsten Designs veröffentlichen Angreifer angeblich nützliche Ergänzungen - zum Beispiel Werkzeuge für Produktivität, Integration mit Dienstleistungen oder Vorteile für Kryptomoneda -, die den Infostealer herunterladen und ausführen, wenn der Benutzer die Installation akzeptiert. Wenn Märkte und Geschäfte keine strengen Kontrolle haben, werden diese Vektoren zu Massenverteilungskanälen.
Eine andere Methode, die sich als wirksam erwiesen hat, ist die sogenannte "ClickFix" oder Ausführung durch Anweisungen: Seiten, die legitime Anleitungen erscheinen, induzieren das Opfer, eine Terminalzeile einzufügen oder eine Datei zu ziehen, um einen Installer auszuführen. In macOS, wo viele Benutzer annehmen, dass laufende Befehle eine Entwickler-Sache ist, dieser Trick ist besonders gefährlich. Die Angreifer verwenden auch SEO-Vergiftung und Maldumping, um bösartige Links in bezahlten Suchanfragen oder organischen Ergebnissen zu positionieren, so dass jemand, der nach einer beliebten Anwendung sucht, in einer Website endet, die einen engagierten Installer bietet.
Die mediale Aufmerksamkeit auf die Instrumentierung von IA-Ökosystemen ist nicht frei: Im Dezember 2025 wurde eine Kampagne mit der Funktion "shared chats" von IA-Plattformen entdeckt, um irreführende Installationsanweisungen in vertrauenswürdigen Domänen, einem Vektor, der von Forschern wie Huntress ( Huntress Bericht) In jüngster Zeit hat AMOS-Forschung gezeigt, wie persönliche Assistenz-Fähigkeitsmärkte vergiftet werden können, um Benutzer, die scheinbar nützliche Erweiterungen installieren - eine moderne Form von Software-Lieferkette Missbrauch.
Hinter diesen Kampagnen ist eine organisierte Wirtschaft. Das Malware-as-a-Service-Modell ermöglicht es den Betreibern, Abonnement-Infostealer anzubieten, und später Käufer bestimmte Datensätze nach ihrem Interesse zu erwerben: Zugang zu Unternehmens-Mail-Konten, aktive Browser-Sessions, SSH-Tasten oder Portfolio-Informationen. Diese "Stealer-Logs" werden zu einer Ware, die Foren und Kanäle betreibt, und der Wert hängt von der Qualität und dem Nutzen der Daten ab. Cybersecurity-Intelligenz-Forscher und -Anbieter setzen diese Austausche weiter und kategorisieren genau, weil Antizipation des Weiterverkaufs von Anmeldeinformationen erlaubt, die Rechenschaftsangriffe zu mindern, bevor sie materialisieren.
Was können Nutzer und Organisationen tun, um dieses Risiko zu reduzieren? Erstens, Misstrauen Shortcuts, die Geschwindigkeit versprechen: vermeiden Sie hitting-Befehle in Terminal, ohne die Quelle zu überprüfen und bevorzugen Installateure verteilt über offizielle Kanäle. Nicht jede Erweiterung oder Geschicklichkeit ist, wie es aussieht., und die Popularität eines Tools garantiert nicht, dass jede Ergänzung in Ihrem Markspot sicher ist. In Unternehmensumgebungen reduziert die Implementierung von Endpoints Management- und Anwendungskontrollrichtlinien - blockieren Sie unbefugte Einrichtungen, begrenzen administrative Privilegien und benötigen Software-Rezensionen - die Angriffsfläche. Multifactor-Authentifizierung ist eine weitere kritische Barriere; wenn möglich, priorisieren Sie phishing-resistente Faktoren wie physische Schlüssel (FIDO2) oder Hardware-basierte Lösungen statt SMS oder Post-Codes.
Bei Sicherheitsgeräten werden Überwachungssignale außerhalb des Umfangs immer wichtiger. Werkzeuge und Dienstleistungen, die das Auftreten von Anmeldeinformationen oder Sitzungen in geheimen Märkten verfolgen, bieten eine Frühwarnung, um begangene Passwörter zu drehen, zwingen Sitzungen, um bedingte Zugriffsminderung zu schließen oder anzuwenden. Es ist auch wichtig, Endpoints-Erkennung zu implementieren, um typische Infostealers-Verhalten zu identifizieren - massive Suche nach sensiblen Dateien, Schlüssel-Entfernung oder Lesen von Browser-Profilen - und es mit Netzwerk-Telemetrie zu blockieren Exfiltration. Organisationen wie Flare veröffentlichen Berichte und Überwachungsdienste, die diesen Ansatz exemplifizieren ( Identity Exposure Report 2026), und es gibt öffentliche Ressourcen, um die Wirtschaft hinter Malware zu verstehen ( Analyse des MaaS-Modells)
Es gibt keine magischen Lösungen: die Bedrohung entwickelt sich so schnell wie die Techniken, um es zu verteilen. Daher ist die Verteidigung vielfältig und erfordert die Kombination von Benutzererziehung (nicht laufende unbekannte Befehle, die Überprüfung der Herkunft), technischen Kontrollen (Patch-Management, Endpoints-Erkennung, robuste MFA) und Bedrohung Sichtbarkeit außerhalb der Umwelt - Überwachung von Anmeldeinformationen und Sitzungen im dunklen Web, und Zusammenarbeit mit Intelligence Providern. Reputations- und Kontrollinstrumente in Marktplätzen und Repositorien sollten verbessert werden, aber in der Zwischenzeit die Verantwortung für die Vorbeugung liegt in hohem Maße in der technologischen Kontrolle von Organisationen und Nutzern.
Zusätzlich zu den Studien von spezialisierten Geheimdiensten sollten technische Analysen und öffentliche Empfehlungen zum Verschwinden von Anmeldeinformationen und zum Missbrauch von Lieferketten auf Plattformen wie GitHub überprüft werden ( GitHub Security Blog), und verwenden Sie Ressourcen, um zu überprüfen, ob Ihre Konten gefiltert wurden, wie Habe ich gesungen?. Das Halten von Informationen und die Anwendung guter Grundpraktiken reduziert die Wahrscheinlichkeit, das nächste Opfer zu sein, um diesen lukrativen unterirdischen Markt zu ernähren.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...