Microsoft предупредила о том, что вредоносные программы для кражи данных перестали быть проблемой только для пользователей Windows и все активнее распространяются в среде macOS. Об этом говорится в новом исследовании команды Microsoft Defender Security Research, посвященном развитию инфостилеров и изменению тактики их распространения.
В компании отмечают, что если ранее такие вредоносные программы в основном были нацелены на компьютеры под управлением Windows, то теперь злоумышленники все чаще выбирают пользователей macOS. По данным Microsoft, с конца 2025 года зафиксирован заметный рост кампаний, ориентированных именно на экосистему Apple. Одной из причин такой экспансии стало активное использование кросс-платформенных языков программирования, в частности Python, что позволяет создавать вредоносный код, легко адаптируемый под разные операционные системы.
Для доставки инфостилеров все чаще применяются методы маскировки под легитимное программное обеспечение. Вредоносные файлы распространяются под видом PDF-редакторов, утилит и даже мессенджеров. Используются поддельные установщики и приемы социальной инженерии, включая схему ClickFix. В результате на устройства пользователей попадают специализированные зловреды, такие как DigitStealer, MacSync и Atomic macOS Stealer (AMOS).
Как подчеркивают специалисты Microsoft Defender Security Research, современные инфостилеры для macOS не являются простыми адаптациями Windows-вредоносов. Они активно используют нативные инструменты системы, AppleScript и так называемые бесфайловые техники, что позволяет им незаметно извлекать данные из браузеров, связок ключей, активных сессий и даже сред разработки. Такой подход значительно усложняет обнаружение угроз традиционными средствами защиты.
В качестве одного из примеров приводится фейковое приложение Crystal PDF, которое осенью 2025 года активно продвигалось через вредоносную рекламу и SEO-манипуляции в Google Ads. После установки программа закреплялась в системе и начинала похищать данные из браузеров Firefox и Chrome, включая cookies, активные сессии и сохраненные учетные данные.
Еще более сложным примером стал Eternidade Stealer, использующий червеподобный механизм распространения и мессенджер WhatsApp (принадлежит Meta, признанной экстремистской и запрещенной в России). Вредоносный код с помощью встроенного Python-скрипта рассылал сообщения через взломанные аккаунты, собирал контакты жертвы и отправлял им зараженные вложения. После проникновения в систему зловред отслеживал активные процессы и ожидал момента, когда пользователь заходил в банковские сервисы, платежные системы или криптобиржи, включая Binance, Coinbase и Stripe, после чего приступал к краже данных.
