Microsoft ha despierto que los ataques de robo de información se están “expandiendo rápidamente” más allá de Windows para apuntar a entornos Apple macOS al disfrutar lenguajes multiplataforma como Python y aprovecharse de plataformas confiables para la distribución a escalera.
El equipo de investigación de seguridad Defender del titán tecnológico dijo que observó campañas de robo de información dirigidas a macOS que utilizan técnicas de ingeniería social como ClickFix desde finales de 2025 para distribuir instaladores de imágenes de disco (DMG) que implementan familias de malware descuidero como Atomic macOS Stealer (AMOS), MacSync y DigitStealer.
Se ha descubierto que las campañas utilizan técnicas como ejecución sin archivos, utilidades nativas de macOS y automatización de AppleScript para suministrar el robo de datos. Esto incluye detalles como credenciales del navegador web y datos de sesión, argolla de iCloud y secretos del desarrollador.
El punto de partida de estos ataques suele ser un anuncio ladino, a menudo publicado a través de Google Ads, que redirige a los usuarios que buscan herramientas como DynamicLake y herramientas de inteligencia fabricado (IA) a sitios falsos que emplean señuelos ClickFix, engañándolos para que infecten sus propias máquinas con malware.
“Los atacantes están aprovechando los ladrones basados en Python para adaptarse rápidamente, reutilizar código y apuntar a entornos heterogéneos con una sobrecarga mínima”, dijo Microsoft. “Por lo caudillo, se distribuyen a través de correos electrónicos de phishing y recopilan credenciales de inicio de sesión, cookies de sesión, tokens de autenticación, números de tarjetas de crédito y datos de billeteras criptográficas”.
Uno de esos ladrones es PXA Stealer, que está vinculado a actores de amenazas de palabra vietnamita y es capaz de compilar credenciales de inicio de sesión, información financiera y datos del navegador. El fabricante de Windows dijo que identificó dos campañas de PXA Stealer en octubre de 2025 y diciembre de 2025 que utilizaban correos electrónicos de phishing para el llegada auténtico.
Las cadenas de ataques implicaron el uso de claves de ejecución del registro o tareas programadas para la persistencia y Telegram para comunicaciones de comando y control y filtración de datos.
Por otra parte, se ha observado que los delincuentes utilizan aplicaciones de correo populares como WhatsApp para distribuir malware como Eternidade Stealer y obtener llegada a cuentas financieras y de criptomonedas. LevelBlue/Trustwave documentó públicamente los detalles de la campaña en noviembre de 2025.
Otros ataques relacionados con ladrones han girado en torno a editores de PDF falsos como Crystal PDF, que se distribuyen mediante publicidad maliciosa y envenenamiento de optimización de motores de búsqueda (SEO) a través de Google Ads para implementar un descuidero basado en Windows que puede compilar de guisa sigilosa cookies, datos de sesión y cachés de credenciales de los navegadores Mozilla Firefox y Chrome.
Para contrarrestar la amenaza que representan los robos de información, se recomienda a las organizaciones que eduquen a los usuarios sobre los ataques de ingeniería social, como cadenas de redireccionamiento de publicidad maliciosa, instaladores falsos y mensajes de copiar y pegar estilo ClickFix. Incluso se recomienda monitorear la actividad sospechosa de la Terminal y el llegada al Cadena de iCloud, así como inspeccionar la salida de la red en exploración de solicitudes POST a dominios sospechosos o recién registrados.
“Ser comprometido por ladrones de información puede provocar violaciones de datos, llegada no calificado a sistemas internos, compromiso del correo electrónico empresarial (BEC), ataques a la condena de suministro y ataques de ransomware”, dijo Microsoft.
