Drei macOS-Kampagnen stechen laut Microsoft derzeit hervor: DigitStealer verbreitet sich über gefälschte DynamicLake-Software, MacSync nutzt Copy-Paste-Befehle fürs Terminal, und Atomic Stealer versteckt sich in vermeintlichen KI-Tools. Alle drei ernten Browser-Credentials, Passwörter, Krypto-Wallets und Developer-Secrets, bevor sie die Spuren verwischen. Die Angreifer setzen auf "ClickFix"-Tricks – Webseiten, die über Google Ads verbreitet werden und Nutzer dazu bringen, scheinbar harmlose Terminal-Befehle auszuführen oder dubiose DMG-Dateien zu installieren. Die Malware arbeitet dateilos, nutzt native macOS-Tools wie curl, osascript und AppleScript, und greift auf Keychain, Browser-Datenspeicher und Cloud-Credentials zu.

Python-Stealer treten auf den Plan

Parallel dazu erobern Python-basierte Stealer die Szene. Der Grund liegt auf der Hand: Python-Code lässt sich schnell entwickeln, einfach anpassen und auf verschiedenen Systemen einsetzen. PXA Stealer, einer der prominentesten Vertreter, wird über Phishing-Mails verteilt und zielt auf Regierungs- und Bildungseinrichtungen ab. Die Angreifer verankern die Malware über Registry-Run-Keys oder geplante Tasks im System, laden Payloads von entfernten Servern nach und schleusen gestohlene Daten über Telegram aus. Zur Tarnung setzen sie auf obfuskierte Python-Skripte, DLL-Sideloading und Python-Interpreter, die sich als "svchost.exe" ausgeben – klassisches Living-off-the-Land.

Besonders perfide wird es beim Plattform-Missbrauch: Angreifer kapern WhatsApp-Accounts, um den Eternidade-Stealer zu verbreiten. Ein obfuskiertes Visual-Basic-Skript startet die Kette, ein Python-Skript übernimmt via WPPConnect die WhatsApp-Kontrolle und verschickt automatisch Malware an alle Kontakte. Der Stealer selbst überwacht aktive Fenster und Prozesse nach Banking-Portalen wie Bradesco, BTG Pactual, MercadoPago sowie Krypto-Börsen wie Binance und Coinbase. Eine andere Kampagne tarnt sich als PDF-Editor namens "Crystal PDF", verbreitet sich über Google-Ads und Malvertising, richtet sich per Scheduled Task dauerhaft ein und kapert Firefox- sowie Chrome-Browser, um an Cookies, Session-Daten und Credential-Caches zu gelangen.

Aktivitäten im Terminal überwachen

Microsoft empfiehlt Administratoren, Terminal-Aktivitäten mit verdächtigen Befehlsketten wie "curl | base64 -d | gunzip" zu überwachen, den Zugriff auf Keychain und Browser-Credential-Stores zu protokollieren und ausgehenden Netzwerkverkehr zu unbekannten Domains zu inspizieren. Attack Surface Reduction Rules gegen obfuskierte Scripts und unbekannte Executables sollten aktiviert werden, EDR im Block-Modus laufen und Cloud-Schutz in Microsoft Defender eingeschaltet sein. Die vollständige Liste der Erkennungsregeln, Hunting-Queries und Indicators of Compromise steht im Microsoft-Blogbeitrag bereit.