Microsoft heeft gewaarschuwd dat aanvallen om informatie te stelen zich “snel uitbreiden” buiten Windows en zich richten op Apple macOS-omgevingen door gebruik te maken van platformonafhankelijke talen zoals Python en misbruik te maken van vertrouwde platforms voor distributie op grote schaal.
Het Defender Security Research Team van de technologiegigant zei dat het sinds eind 2025 op macOS gerichte infostealer-campagnes heeft waargenomen met behulp van social engineering-technieken zoals ClickFix om disk image-installatieprogramma’s (DMG) te distribueren die stealer-malwarefamilies zoals Atomic macOS Stealer (AMOS), MacSync en DigitStealer inzetten.
Het is gebleken dat de campagnes technieken gebruiken zoals bestandsloze uitvoering, native macOS-hulpprogramma’s en AppleScript-automatisering om gegevensdiefstal te vergemakkelijken. Dit omvat details zoals webbrowsergegevens en sessiegegevens, iCloud-sleutelhanger en ontwikkelaarsgeheimen.
Het startpunt van deze aanvallen is vaak een kwaadaardige advertentie, vaak weergegeven via Google Ads, die gebruikers die zoeken naar tools als DynamicLake en kunstmatige intelligentie (AI)-tools omleidt naar nepsites die gebruik maken van ClickFix-lokmiddelen, waardoor ze worden verleid hun eigen machines met malware te infecteren.
“Op Python gebaseerde stealers worden door aanvallers gebruikt om zich snel aan te passen, code te hergebruiken en zich te richten op heterogene omgevingen met minimale overhead”, aldus Microsoft. “Ze worden doorgaans verspreid via phishing-e-mails en verzamelen inloggegevens, sessiecookies, authenticatietokens, creditcardnummers en crypto-portemonneegegevens.”
Eén van die stealers is PXA Stealer, die gekoppeld is aan Vietnamees sprekende dreigingsactoren en in staat is om inloggegevens, financiële informatie en browsergegevens te verzamelen. De Windows-maker zei dat het in oktober 2025 en december 2025 twee PXA Stealer-campagnes had geïdentificeerd die phishing-e-mails gebruikten voor de eerste toegang.
Aanvalsketens omvatten het gebruik van register Run-sleutels of geplande taken voor persistentie en Telegram voor command-and-control-communicatie en data-exfiltratie.
Bovendien zijn er slechte actoren waargenomen die populaire berichten-apps zoals WhatsApp bewapenen om malware zoals Eternidade Stealer te verspreiden en toegang te krijgen tot financiële en cryptocurrency-accounts. Details van de campagne werden in november 2025 publiekelijk gedocumenteerd door LevelBlue/Trustwave.
Andere stealer-gerelateerde aanvallen draaiden om valse PDF-editors zoals Crystal PDF, die worden verspreid via malvertising en zoekmachineoptimalisatie (SEO) via Google Ads om een op Windows gebaseerde stealer in te zetten die heimelijk cookies, sessiegegevens en inlogcaches van Mozilla Firefox- en Chrome-browsers kan verzamelen.
Om de dreiging van infostealer-bedreigingen het hoofd te bieden, wordt organisaties geadviseerd om gebruikers voor te lichten over social engineering-aanvallen zoals malvertising-omleidingsketens, nep-installatieprogramma’s en ClickFix-achtige kopieer-plakprompts. Het is ook raadzaam om te controleren op verdachte Terminal-activiteit en toegang tot de iCloud-sleutelhanger, en om het uitgaande netwerk te inspecteren op POST-verzoeken naar nieuw geregistreerde of verdachte domeinen.
“Gecompromitteerd worden door infostealers kan leiden tot datalekken, ongeoorloofde toegang tot interne systemen, zakelijke e-mailcompromis (BEC), supply chain-aanvallen en ransomware-aanvallen”, aldus Microsoft.
