文章总结： 微软报告显示信息窃取攻击正从Windows扩展至macOS，攻击者利用Python跨平台特性、社交工程及恶意DMG文件部署DigitStealer和AMOS等恶意软件，并滥用WhatsApp等受信任平台窃取凭据。建议加强安全意识培训，监控终端异常活动与出站流量，启用EDR及多层防御机制以应对威胁。 综合评分： 88 文章分类： 威胁情报,恶意软件,漏洞预警,安全运营,网络安全

微软报告：信息窃取恶意软件已从 Windows 扩展到 macOS

会杀毒的单反狗 会杀毒的单反狗

军哥网络安全读报

2026年2月5日 09:00 湖北

导读

微软警告称，信息窃取攻击正迅速从 Windows 扩展到 macOS，攻击者使用 Python 等跨平台语言并滥用受信任的平台。

自 2025 年底以来，微软发现利用社交工程、虚假修复程序和恶意 DMG 文件攻击 macOS 信息窃取攻击激增。攻击者部署 macOS 专用和基于 Python 的窃取程序，滥用 WhatsApp 等受信任的应用程序，并使用原生工具窃取凭据、加密数据和会话数据，同时绕过防御机制。

微软发布的报告称：“自 2025 年末以来，微软 Defender 专家观察到针对 macOS 的信息窃取活动利用社会工程技术（包括 ClickFix 式提示和恶意 DMG 安装程序）来部署 macOS 特定的信息窃取程序，例如 DigitStealer、MacSync 和Atomic macOS Stealer ( AMOS )。”

这些攻击活动利用无文件执行、macOS 原生实用程序和 AppleScript 自动化功能，从浏览器、钥匙串和开发者环境中窃取凭证、会话数据和密钥。

攻击者越来越多地利用看似合法且常见的伎俩，通过恶意软件窃取信息，从而将目标对准 Mac 用户和组织。

Mac 用户经常被诱骗访问虚假网站（通常是通过 Google 广告），这些网站会推送虚假软件或要求用户在终端中粘贴命令。这些骗局会安装 DigitStealer、MacSync 和 Atomic Stealer 等窃取程序，这些程序会悄悄窃取浏览器密码、加密钱包和开发者凭证，然后清除所有痕迹。这可能导致账户被盗、财务损失，甚至公司系统被入侵。

与此同时，网络钓鱼邮件也在传播基于 Python 的窃取程序，因为它们易于编写且难以检测。像 PXA Stealer 这样的恶意软件会窃取登录信息、财务数据和浏览器会话，并且通常使用 Telegram 和一些可信工具来隐藏其活动。

攻击者还滥用 WhatsApp 和 PDF 工具等受信任平台传播恶意软件，将普通应用程序变成窃取凭证和加密货币的渠道。

2025年11月，微软发现一起针对WhatsApp的滥用攻击活动，该活动通过多阶段、蠕虫状的感染链传播Eternidade Stealer恶意软件。攻击始于一段混淆的VB脚本，该脚本会启动PowerShell程序以获取恶意载荷。一个Python组件会劫持WhatsApp账户，向所有联系人发送包含恶意文件的消息，同时一个恶意MSI安装程序会安装Eternidade Stealer，以窃取银行、支付和加密货币凭证。

2025年9月，微软发现一款名为“Crystal PDF”的虚假PDF编辑器，该编辑器通过谷歌广告和搜索引擎优化（SEO）进行传播。一旦安装，它就会通过计划任务持续运行，并窃取Chrome和Firefox浏览器的cookie、会话信息和凭据。

微软建议采用多层防御措施来阻止基于 macOS、Python 和平台滥用的信息窃取者恶意程序。培训用户识别虚假广告、伪造安装程序和 ClickFix 复制粘贴技巧，并避免使用未签名的 DMG 文件或“终端修复程序”。

监控 macOS 中是否存在危险的终端活动，例如 curl、Base64 解码、AppleScript 和无文件执行链。注意是否存在对钥匙串、浏览器凭据、云密钥和加密钱包的异常访问。

检查出站流量，查找发往新域名或可疑域名的 POST 请求，以及在数据泄露前于临时文件夹中创建的短期 ZIP 文件。利用威胁情报阻止已知的命令与控制服务器。加强对 Python 和 LOLBIN 滥用的防御，包括 certutil 滥用、AutoIt 活动和进程空心化。

启用云交付保护、EDR（阻止模式）、网络和网页保护、SmartScreen、自动调查和篡改保护。应用攻击面缩减规则，阻止混淆脚本、不受信任的可执行文件以及启动已下载有效载荷的脚本。

微软建议采用多层防御措施来阻止基于 macOS、Python 和平台滥用的信息窃取者恶意软件。培训用户识别虚假广告、伪造安装程序和 ClickFix 复制粘贴技巧，并避免使用未签名的 DMG 文件或“终端修复程序”。

监控 macOS 中是否存在危险的终端活动，例如 curl、Base64 解码、AppleScript 和无文件执行链。注意是否存在对钥匙串、浏览器凭据、云密钥和加密钱包的异常访问。

检查出站流量，查找发往新域名或可疑域名的 POST 请求，以及在数据泄露前于临时文件夹中创建的短期 ZIP 文件。利用威胁情报阻止已知的命令与控制服务器。加强对 Python 和 LOLBIN 滥用的防御，包括 certutil 滥用、AutoIt 活动和进程空心化。

启用云交付保护、EDR（阻止模式）、网络和网页保护、SmartScreen、自动调查和篡改保护。应用攻击面缩减规则，阻止混淆脚本、不受信任的可执行文件以及启动已下载有效载荷的脚本。

微软总结称，“由于基于Python的信息窃取程序的威胁日益增长，企业必须了解此类恶意软件攻击者所使用的策略、技术和流程，从而保护自身环境。遭受信息窃取程序的攻击可能导致数据泄露、内部系统遭到未经授权的访问、商业电子邮件入侵（BEC）、供应链攻击和勒索软件攻击。”

微软官方博客：

《信息窃取者无国界：macOS、Python 窃取者和平台滥用》

Infostealers without borders: macOS, Python stealers, and platform abuse

新闻链接：

Microsoft: Info-Stealing malware expands from Windows to macOS

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军哥网络安全读报 会杀毒的单反狗 会杀毒的单反狗《微软报告：信息窃取恶意软件已从 Windows 扩展到 macOS》