Microsoft advirtió que los ataques de robo de información se están «expandiendo rápidamente» más allá de Windows para apuntar al entorno macOS de Apple aprovechando lenguajes multiplataforma como Python y abusando de plataformas confiables para la distribución a gran escala.
El equipo Defender Security Research del gigante tecnológico dijo que ha observado campañas de ladrón de información dirigidas a macOS desde finales de 2025 utilizando técnicas de ingeniería social como ClickFix para distribuir instaladores de imágenes de disco (DMG) que implementan familias de malware ladrón como Atomic macOS Stealer (AMOS), MacSync y DigitStealer.
Se ha descubierto que la campaña utiliza técnicas como ejecución sin archivos, utilidades nativas de macOS y automatización de AppleScript para facilitar el robo de datos. Esto incluye detalles como credenciales del navegador web y datos de sesión, llavero de iCloud y secretos del desarrollador.
El punto de partida de estos ataques suelen ser los anuncios maliciosos publicados a través de Google Ads. El anuncio redirige a los usuarios que buscan herramientas como DynamicLake y herramientas de inteligencia artificial (IA) a un sitio falso que utiliza el señuelo ClickFix para engañar a los usuarios para que infecten sus máquinas con malware.
«Los atacantes utilizan los ladrones basados en Python para adaptarse, reutilizar y apuntar rápidamente a entornos dispares con una sobrecarga mínima», dijo Microsoft. «Por lo general, se distribuyen a través de correos electrónicos de phishing y recopilan credenciales de inicio de sesión, cookies de sesión, tokens de autenticación, números de tarjetas de crédito y datos de billeteras criptográficas».
Uno de esos ladrones es el PXA Stealer. Está vinculado a atacantes de habla vietnamita y puede recopilar credenciales de inicio de sesión, información financiera y datos del navegador. El fabricante de Windows anunció que identificó dos campañas de PXA Stealer en octubre de 2025 y diciembre de 2025 que utilizaron correos electrónicos de phishing para el acceso inicial.
La cadena de ataque incluyó el uso de claves de ejecución de registro o tareas programadas para la persistencia y el uso de Telegrams para comunicaciones de comando y control y exfiltración de datos.
Además, se ha observado que actores maliciosos utilizan aplicaciones de mensajería populares como WhatsApp para distribuir malware como Eternidade Stealer y obtener acceso a cuentas financieras y de criptomonedas. LevelBlue/Trustwave documentó públicamente los detalles de la campaña en noviembre de 2025.
Otros ataques relacionados con ladrones giran en torno a editores de PDF falsos como Crystal PDF, distribuidos mediante publicidad maliciosa y envenenamiento de optimización de motores de búsqueda (SEO) a través de anuncios de Google, y la implementación de ladrones basados en Windows que pueden recopilar de forma encubierta cookies, datos de sesión y cachés de credenciales de los navegadores Mozilla Firefox y Chrome.
Para combatir la amenaza del robo de información, se alienta a las organizaciones a educar a los usuarios sobre los ataques de ingeniería social, como cadenas de redireccionamiento de publicidad maliciosa, instaladores falsos y mensajes de copiar y pegar estilo ClickFix. También recomendamos monitorear la actividad sospechosa de la terminal y el acceso al llavero de iCloud, e inspeccionar la salida de la red en busca de solicitudes POST a dominios sospechosos o recién registrados.
«Las infracciones por parte de ladrones de información pueden provocar violaciones de datos, acceso no autorizado a sistemas internos, compromiso del correo electrónico empresarial (BEC), ataques a la cadena de suministro y ataques de ransomware», dijo Microsoft.
Source link
