Microsoft đã cảnh báo rằng các cuộc tấn công đánh cắp thông tin đang "mở rộng nhanh chóng" ra ngoài môi trường Windows để nhắm mục tiêu vào các môi trường Apple macOS bằng cách tận dụng các ngôn ngữ đa nền tảng như Python và lạm dụng các nền tảng đáng tin cậy để phân phối trên quy mô lớn.
Nhóm nghiên cứu bảo mật Defender của gã khổng lồ công nghệ cho biết họ đã quan sát thấy các chiến dịch infostealer nhắm vào macOS sử dụng các kỹ thuật lừa đảo xã hội như ClickFix từ cuối năm 2025 để phân phối trình cài đặt disk image (DMG) triển khai các họ phần mềm độc hại stealer như Atomic macOS Stealer (AMOS), MacSync và DigitStealer.
Các chiến dịch này đã được phát hiện sử dụng các kỹ thuật như fileless execution, native macOS utilities và AppleScript automation để tạo điều kiện thuận lợi cho việc đánh cắp dữ liệu. Điều này bao gồm các chi tiết như thông tin đăng nhập trình duyệt web và dữ liệu phiên, iCloud Keychain và developer secrets.
Điểm khởi đầu của các cuộc tấn công này thường là một quảng cáo độc hại, thường được phân phát qua Google Ads, chuyển hướng người dùng tìm kiếm các công cụ như DynamicLake và artificial intelligence (AI) tools đến các trang web giả mạo sử dụng mồi nhử ClickFix, lừa họ tự lây nhiễm phần mềm độc hại vào máy tính của mình.
“Các stealer dựa trên Python đang được những kẻ tấn công tận dụng để nhanh chóng thích nghi, tái sử dụng mã và nhắm mục tiêu vào các môi trường không đồng nhất với chi phí tối thiểu,” Microsoft cho biết. “Chúng thường được phân phối qua phishing emails và thu thập thông tin đăng nhập, session cookies, authentication tokens, số thẻ tín dụng và dữ liệu ví crypto.”
Một stealer như vậy là PXA Stealer, được liên kết với các threat actor nói tiếng Việt và có khả năng thu thập thông tin đăng nhập, thông tin tài chính và dữ liệu trình duyệt. Nhà sản xuất Windows cho biết họ đã xác định hai chiến dịch PXA Stealer vào tháng 10 năm 2025 và tháng 12 năm 2025 đã sử dụng phishing emails để truy cập ban đầu.
Các chuỗi tấn công liên quan đến việc sử dụng registry Run keys hoặc scheduled tasks để duy trì quyền truy cập và Telegram để liên lạc command-and-control cũng như exfiltration dữ liệu.
Ngoài ra, các bad actor đã được quan sát thấy sử dụng các ứng dụng nhắn tin phổ biến như WhatsApp để phân phối phần mềm độc hại như Eternidade Stealer và giành quyền truy cập vào các tài khoản tài chính và tiền điện tử. Chi tiết về chiến dịch đã được LevelBlue/Trustwave công khai vào tháng 11 năm 2025.
Các cuộc tấn công liên quan đến stealer khác xoay quanh các trình chỉnh sửa PDF giả mạo như Crystal PDF được phân phối qua malvertising và search engine optimization (SEO) poisoning thông qua Google Ads để triển khai một stealer dựa trên Windows có thể âm thầm thu thập cookies, session data và credential caches từ các trình duyệt Mozilla Firefox và Chrome.
Để chống lại mối đe dọa từ các mối đe dọa infostealer, các tổ chức được khuyên nên giáo dục người dùng về các cuộc tấn công lừa đảo xã hội như malvertising redirect chains, fake installers và các lời nhắc copy-paste kiểu ClickFix. Cũng nên theo dõi các hoạt động Terminal đáng ngờ và việc truy cập iCloud Keychain, cũng như kiểm tra network egress đối với các POST request đến các domain mới đăng ký hoặc đáng ngờ.
“Việc bị infostealer tấn công có thể dẫn đến data breaches, truy cập trái phép vào các hệ thống nội bộ, business email compromise (BEC), supply chain attacks và ransomware attacks,” Microsoft cho biết.
