Microsoft ha advertido que los ataques de robo de información se están «expandiendo rápidamente» más allá de Windows para apuntar a entornos Apple macOS al aprovechar lenguajes multiplataforma como Python y abusar de plataformas confiables para la distribución a escala.
El equipo de investigación de seguridad Defender del gigante tecnológico dijo que observó campañas de robo de información dirigidas a macOS que utilizan técnicas de ingeniería social como ClickFix desde finales de 2025 para distribuir instaladores de imágenes de disco (DMG) que implementan familias de malware ladrón como Atomic macOS Stealer (AMOS), MacSync y DigitStealer.
Se ha descubierto que las campañas utilizan técnicas como ejecución sin archivos, utilidades nativas de macOS y automatización de AppleScript para facilitar el robo de datos. Esto incluye detalles como credenciales del navegador web y datos de sesión, llavero de iCloud y secretos del desarrollador.
El punto de partida de estos ataques suele ser un anuncio malicioso, a menudo publicado a través de Google Ads, que redirige a los usuarios que buscan herramientas como DynamicLake y herramientas de inteligencia artificial (IA) a sitios falsos que emplean señuelos ClickFix, engañándolos para que infecten sus propias máquinas con malware.
«Los atacantes están aprovechando los ladrones basados en Python para adaptarse rápidamente, reutilizar código y apuntar a entornos heterogéneos con una sobrecarga mínima», dijo Microsoft. «Por lo general, se distribuyen a través de correos electrónicos de phishing y recopilan credenciales de inicio de sesión, cookies de sesión, tokens de autenticación, números de tarjetas de crédito y datos de billeteras criptográficas».
Uno de esos ladrones es PXA Stealer, que está vinculado a actores de amenazas de habla vietnamita y es capaz de recopilar credenciales de inicio de sesión, información financiera y datos del navegador. El fabricante de Windows dijo que identificó dos campañas de PXA Stealer en octubre de 2025 y diciembre de 2025 que utilizaban correos electrónicos de phishing para el acceso inicial.
Las cadenas de ataques implicaron el uso de claves de ejecución del registro o tareas programadas para la persistencia y Telegram para comunicaciones de comando y control y filtración de datos.
Además, se ha observado que los delincuentes utilizan aplicaciones de mensajería populares como WhatsApp para distribuir malware como Eternidade Stealer y obtener acceso a cuentas financieras y de criptomonedas. LevelBlue/Trustwave documentó públicamente los detalles de la campaña en noviembre de 2025.
Otros ataques relacionados con ladrones han girado en torno a editores de PDF falsos como Crystal PDF, que se distribuyen mediante publicidad maliciosa y envenenamiento de optimización de motores de búsqueda (SEO) a través de Google Ads para implementar un ladrón basado en Windows que puede recopilar de manera sigilosa cookies, datos de sesión y cachés de credenciales de los navegadores Mozilla Firefox y Chrome.
Para contrarrestar la amenaza que representan los robos de información, se recomienda a las organizaciones que eduquen a los usuarios sobre los ataques de ingeniería social, como cadenas de redireccionamiento de publicidad maliciosa, instaladores falsos y mensajes de copiar y pegar estilo ClickFix. También se recomienda monitorear la actividad sospechosa de la Terminal y el acceso al Llavero de iCloud, así como inspeccionar la salida de la red en busca de solicitudes POST a dominios sospechosos o recién registrados.
«Ser comprometido por ladrones de información puede provocar violaciones de datos, acceso no autorizado a sistemas internos, compromiso del correo electrónico empresarial (BEC), ataques a la cadena de suministro y ataques de ransomware», dijo Microsoft.