هشدار مایکروسافت به سرقت اطلاعات از طریق برنامه پایتون و هدف قراردادن macOS

مایکروسافت هشدار داده است که حملات سرقت اطلاعات «به سرعت در حال گسترش» فراتر از ویندوز هستند تا محیط‌های macOS اپل را با استفاده از زبان‌های برنامه‌نویسی چند پلتفرمی مانند پایتون و سوءاستفاده از پلتفرم‌های معتبر برای توزیع در مقیاس بزرگ، هدف قرار دهند.

تیم تحقیقاتی Defender Security ،این غول فناوری اعلام کرد که از اواخر سال 2025، کمپین‌های سرقت اطلاعات هدفمند macOS را مشاهده کرده است که از تکنیک‌های مهندسی اجتماعی مانند ClickFix برای توزیع نصب‌کننده‌های تصویر دیسک (DMG) استفاده می‌کنند که خانواده‌های بدافزار سرقت اطلاعات مانند Atomic macOS Stealer (AMOS)، MacSync و DigitStealer را مستقر می‌کنند.

مشخص شده است که این کمپین‌ها از تکنیک‌هایی مانند اجرای بدون فایل، ابزارهای بومی macOS و اتوماسیون AppleScript برای تسهیل سرقت داده‌ها استفاده می‌کنند. این موضوع شامل جزئیاتی مانند اعتبارنامه‌های مرورگر وب و داده‌های جلسه، iCloud Keychain  و اطلاعات محرمانه توسعه‌دهندگان می باشد.

نقطه شروع این حملات اغلب یک تبلیغ مخرب است که اغلب از طریق Google Ads ارائه می‌شود و کاربرانی را که به دنبال ابزارهایی مانند DynamicLake و ابزارهای هوش مصنوعی (AI) هستند، به سایت‌های جعلی که از ClickFix استفاده می‌کنند، هدایت می‌کند و آنها را فریب می‌دهد تا دستگاه‌های خود را با بدافزار آلوده کنند.

مایکروسافت اعلام کرد: «مهاجم‌ها از سارقان مبتنی بر پایتون برای تطبیق سریع، استفاده مجدد از کد و هدف قرار دادن محیط‌های ناهمگن با حداقل سربار استفاده می‌کنند. آن‌ها معمولاً از طریق ایمیل‌های فیشینگ توزیع می‌شوند و اطلاعات ورود به سیستم، کوکی‌های جلسه، توکن‌های احراز هویت، شماره کارت‌های اعتباری و داده‌های کیف پول ارز دیجیتال را جمع‌آوری می‌کنند.»

یکی از این سارقان، PXA Stealer است که با عوامل تهدید ویتنامی زبان مرتبط است و قادر به جمع‌آوری اطلاعات ورود به سیستم، اطلاعات مالی و داده‌های مرورگر است. این سازنده ویندوز اعلام کرد که دو کمپین PXA Stealer را در اکتبر 2025 و دسامبر 2025 شناسایی کرده است که از ایمیل‌های فیشینگ برای دسترسی اولیه استفاده می‌کردند.

زنجیره‌های حمله شامل استفاده از کلیدهای رجیستری یا وظایف برنامه‌ریزی شده برای ماندگاری و تلگرام برای ارتباطات فرمان و کنترل و استخراج داده‌ها بود.

علاوه بر این، مشاهده شده است که عاملان بد از برنامه‌های پیام‌رسان محبوب مانند واتس‌اپ برای توزیع بدافزارهایی مانند Eternidade Stealer و دسترسی به حساب‌های مالی و ارز دیجیتال استفاده می‌کنند. جزئیات این کمپین در نوامبر ۲۰۲۵ توسط LevelBlue/Trustwave به صورت عمومی مستند شد.

امنیت سایبری

سایر حملات مرتبط با سرقت اطلاعات، حول ویرایشگرهای PDF جعلی مانند Crystal PDF می‌چرخند که از طریق تبلیغات مخرب و مسمومیت با بهینه‌سازی موتور جستجو (SEO) از طریق Google Ads توزیع می‌شوند تا یک سرقت اطلاعات مبتنی بر ویندوز را مستقر کنند که می‌تواند به طور مخفیانه کوکی‌ها، داده‌های جلسه و حافظه‌های نهان اعتبارنامه را از مرورگرهای Mozilla Firefox و Chrome جمع‌آوری کند.

برای مقابله با تهدید ناشی از تهدیدات سرقت اطلاعات، به سازمان‌ها توصیه می‌شود که کاربران را در مورد حملات مهندسی اجتماعی مانند زنجیره‌های تغییر مسیر تبلیغات مخرب، نصب‌کننده‌های جعلی و پیام‌های کپی-پیست به سبک ClickFix آموزش دهند. همچنین توصیه می‌شود که فعالیت‌های مشکوک ترمینال و دسترسی به iCloud Keychain  را رصد کنند و همچنین خروجی شبکه را برای درخواست‌های POST به دامنه‌های تازه ثبت شده یا مشکوک بررسی کنند.

مایکروسافت اعلام کرد: "قرار گرفتن در معرض خطر سرقت اطلاعات می‌تواند منجر به نقض داده‌ها، دسترسی غیرمجاز به سیستم‌های داخلی، نقض ایمیل تجاری (BEC)، حملات زنجیره تأمین و حملات باج‌افزاری شود."

منبع:

https://thehackernews.com/2026/02/microsoft-warns-python-infostealers.html