Καμπάνιες infostealer που στο παρελθόν στόχευαν κυρίως συστήματα Windows επεκτείνονται πλέον επιθετικά στο macOS, αξιοποιώντας τη γλώσσα Python και πλατφόρμες που θεωρούνται αξιόπιστες από τους χρήστες. Οι επιτιθέμενοι χρησιμοποιούν online διαφημίσεις, ψεύτικες εφαρμογές και γνωστά εργαλεία για να υποκλέπτουν διακριτικά διαπιστευτήρια, cookies συνεδριών και δεδομένα κρυπτονομισμάτων από χρήστες Mac.
Infostealer: Οι οικογένειες κακόβουλου λογισμικού στο επίκεντρο
Στο επίκεντρο της έξαρσης βρίσκονται cross-platform Python stealers αλλά και οικογένειες ειδικά για macOS, όπως τα DigitStealer, MacSync και Atomic macOS Stealer (AMOS). Οι απειλές αυτές μετατρέπουν την καθημερινή περιήγηση στο διαδίκτυο και τις εγκαταστάσεις λογισμικού σε υψηλού ρίσκου ενέργειες τόσο για ιδιώτες όσο και για επιχειρήσεις.
Οι επιθέσεις βασίζονται έντονα στην κοινωνική μηχανική. Malvertising και σύνδεσμοι αλλοιωμένοι μέσω μηχανών αναζήτησης οδηγούν σε ψεύτικους installers ή «εργαλεία επιδιόρθωσης συστήματος» που φαίνονται νόμιμα. Συχνά διανέμονται ως DMG αρχεία ή φαινομενικά ακίνδυνα scripts, ξεγελώντας τους χρήστες να τα εκτελέσουν.
Κλοπή δεδομένων και επιχειρησιακός κίνδυνος
Μόλις ενεργοποιηθεί το κακόβουλο φορτίο, συλλέγει κωδικούς browsers, εγγραφές keychain, πορτοφόλια κρυπτονομισμάτων και μυστικά προγραμματιστών. Για τους οργανισμούς, η κλοπή cloud credentials και πρόσβασης σε πηγαίο κώδικα μπορεί να οδηγήσει σε βαθύτερη παραβίαση, ακόμη και σε επιθέσεις εφοδιαστικής αλυσίδας ή ransomware.
Συνδυασμός macOS τεχνικών και Python εργαλείων
Ερευνητές της Microsoft επισημαίνουν ότι τα πρόσφατα κύματα infostealer συνδυάζουν macOS-native τεχνικές με ευέλικτα Python εργαλεία, επιτρέποντας λειτουργία σε πολλαπλά περιβάλλοντα. Στο macOS γίνεται χρήση ενσωματωμένων εργαλείων και αυτοματισμών AppleScript για χαμηλό προφίλ, ενώ τα Python stealers διανέμονται ευρέως μέσω phishing emails και παγιδευμένων συνημμένων σε εταιρικά δίκτυα.
Παράλληλα, οι επιτιθέμενοι αξιοποιούν πλατφόρμες όπως το WhatsApp και ψεύτικα εργαλεία PDF για τη διανομή κακόβουλων φορτίων, καθιστώντας την κακόβουλη κίνηση δυσδιάκριτη από τη φυσιολογική δραστηριότητα των χρηστών.
Από το δόλωμα στην αθόρυβη διαρροή δεδομένων
Η αλυσίδα μόλυνσης ξεκινά συνήθως με ένα φαινομενικά αθώο δόλωμα. Οι χρήστες macOS οδηγούνται σε πλαστές σελίδες λήψης εργαλείων ή παραπλανώνται ώστε να επικολλήσουν εντολές στο Terminal που υποτίθεται διορθώνουν προβλήματα συστήματος. Με την εκτέλεση, το κακόβουλο λογισμικό χρησιμοποιεί εγγενή εργαλεία όπως curl, base64 και gunzip για να κατεβάσει επιπλέον φορτία απευθείας στη μνήμη, αποφεύγοντας εμφανή αρχεία.
Στη συνέχεια, scripts μέσω osascript ή JavaScript for Automation καταγράφουν το σύστημα, αντλούν δεδομένα από browsers και keychains και τα συγκεντρώνουν σε προσωρινά αρχεία. Τέλος, τα δεδομένα αποστέλλονται σε servers των επιτιθέμενων μέσω HTTPS αιτημάτων, ολοκληρώνοντας την παραβίαση χωρίς εμφανή σημάδια για τον χρήστη.
