微軟資安研究團隊發布報告指出,近年以竊取帳密與工作階段資料為主的資訊竊取程式,過去多與Windows環境相關,近期則出現更多鎖定macOS的攻擊活動,顯示攻擊範圍正擴大到多種作業系統。攻擊者同時利用Python等跨平臺語言降低改寫門檻,並藉由WhatsApp與PDF轉檔或編輯工具等常見使用情境擴大散布管道,使竊資行動更容易滲透受害者的日常工作與生活流程。
微軟從2025年底開始觀察到多起macOS竊資攻擊。常見入口是使用者在網路上搜尋軟體或工具時,遭Google Ads或惡意廣告導向仿冒網站,這些網站不是提供偽裝成正常程式的安裝檔,就是以社交工程手法誘導使用者在終端機複製貼上指令,進而投放DigitStealer、MacSync與Atomic macOS Stealer(AMOS)等macOS專用竊資程式。
攻擊者會蒐集瀏覽器登入憑證、已儲存密碼、加密貨幣錢包資料,以及雲端登入憑證與開發者環境中的敏感資料,包含鑰匙圈與開發用存取金鑰等,彙整後送往攻擊者伺服器,部分案例還會刪除感染痕跡以降低追查難度。
研究人員還觀察到,過去一年多起以釣魚電子郵件散布的Python竊資攻擊,竊取目標涵蓋登入憑證、工作階段Cookie、驗證權杖、信用卡資料與加密貨幣相關資訊。微軟表示,在2025年10月與12月調查的兩起事件中,攻擊鏈以釣魚郵件取得初始存取權限,建立常駐後自遠端下載惡意載荷,並透過Telegram外傳資料,同時搭配混淆腳本與濫用合法服務等手法降低偵測機率。
攻擊者並非一定是利用平臺漏洞,有可能借用大眾對常用服務的信任與使用規模作為掩護。微軟舉例,2025年11月曾出現濫用WhatsApp的多階段攻擊,從受害者帳號出發進行類蠕蟲式擴散,透過自動化工具從被接管的帳號群發訊息與惡意附件,最終投放Eternidade Stealer,鎖定銀行與支付服務,以及多個加密貨幣交易與錢包服務的登入環境。
另一案例則是假冒PDF編輯器Crystal PDF的攻擊。研究人員指出,攻擊者透過SEO操弄搜尋結果,將使用者導向仿冒網站,利用使用者處理PDF檔案的日常需求作為誘餌。程式執行後會透過排程工作建立常駐機制,並暗中存取Firefox與Chrome等瀏覽器中的Cookie、工作階段資料與憑證快取等敏感資訊。
熱門新聞
2026-02-02
2026-02-03
2026-02-04
2026-02-02
2026-02-04
2026-02-03
