Microsoftは2月2日(米国時間)、「Infostealers without borders: macOS, Python stealers, and platform abuse|Microsoft Security Blog」において、macOSを標的とする情報窃取マルウェアの配布キャンペーン増加に対し、注意を喚起した。

2025年後半以降、脅威アクターはさまざまな手法を駆使し、macOSユーザーに対して複数のマルウェアを展開しているという。

  • Infostealers without borders: macOS、Python stealers、and platform abuse|Microsoft Security Blog

    Infostealers without borders: macOS, Python stealers, and platform abuse|Microsoft Security Blog

macOSを狙う攻撃

Microsoftが2025年後半に特定したmacOSを標的とするマルウェア配布キャンペーンの概要は次のとおり。

ClickFix戦術を使用する攻撃

初期の侵害経路はGoogle広告または悪意のある広告とされる。攻撃者はこれら広告を介して被害者を悪意のあるWebサイトに誘導し、偽のアプリケーションの配布、またはコマンドのコピー&ペーストを要求するClickFix戦術によってマルウェアをインストールさせたという。

配布されたマルウェアはDigitStealer、MacSync、Atomic Stealerなどで、主にWebブラウザの認証情報、保存されたパスワード、暗号通貨ウォレット情報、開発者の機密情報などを窃取したとみられている。

フィッシングメールを用いる攻撃

2025年10月および12月に、フィッシングメールを使用する攻撃が観察された。このキャンペーンはベトナム語を話す脅威アクターとの関連が示され、マルウェアの開発言語にPythonを使用したことが確認されている。

配布されたマルウェアはPXA Stealerで、永続性や検出回避機能を持ち、ログイン認証情報や金融関連情報、Webブラウザーのデータなどを窃取する。

有名なアプリに偽装する攻撃

アプリ関連の攻撃キャンペーンとして、2つの攻撃が特定された。2025年9月に、PDF編集アプリ「Crystal PDF」に偽装したアプリを配布するキャンペーンを発見。このキャンペーンでは、Google広告を悪用するマルバタイジングとSEOポイズニングを駆使して被害者を誘導したとされる。

この悪意のあるアプリからは永続性の確保および主要なWebブラウザのハイジャック機能が確認されている。主にCookie、セッションデータ、資格情報キャッシュなどを窃取したとみられている。

もう一方は2025年11月に特定。WhatsAppプラットフォーム上でマルウェアを拡散した。難読化されたVisual Basicスクリプトから感染が始まり、多段階の感染手順が進行したとされる。

感染に成功するとPythonスクリプトを展開。標的のWhatsAppアカウントを乗っ取り、連絡先リストにメッセージを自動送信することでワームのように感染を広げる。被害環境にはマルウェア「Eternidade Stealer」も展開し、認証情報の窃取、金融関連情報の監視と収集などを行う。

macOSを狙う攻撃が増加した要因はPython

Microsoftはこれら攻撃キャンペーンの増加の理由として、Pythonを中心としたクロスプラットフォーム言語の活用を指摘している。Pythonはプログラミング言語として使いやすく、低い技術力をカバーするフレームワークが豊富。さらに、実行環境を選ばないことからWindowsからmacOSへの標的拡大が容易で、最近の大規模なマルウェア拡散につながったと説明している。

同社はこうした背景から脅威アクターの間でPythonの関心が急速に高まっていると述べ、企業のセキュリティ担当者に対してPythonを利用した脅威の戦術、技術、手順(TTPs: Tactics, Techniques, and Procedures)を把握し、セキュリティを強化するように推奨している。