W ostatnim czasie odkryty został nowy malware skierowany przeciwko użytkownikom macOS. DigitStealer – bo taką nazwę otrzymał – to tzw. infostealer, czyli złośliwe oprogramowanie, którego celem jest kradzież wrażliwych informacji. W odróżnieniu od wielu dotychczasowych programów atakujących komputery Apple, DigitStealer wykazuje się nowoczesnymi mechanizmami unikania wykrycia oraz wieloetapowym łańcuchem ataku.
Jak działa atak – maskowanie pod „DynamicLake”
Autorzy złośliwego kodu podszywają się pod aplikację o nazwie „DynamicLake” – na pierwszy rzut oka wygląda ona jak zwykłe narzędzie. Dystrybucja odbywa się poprzez fałszywą stronę internetową, a ofiara jest nakłaniana do przeciągnięcia pliku i uruchomienia go w terminalu, co skutkuje zainstalowaniem malware’u.
Co istotne, DigitStealer celuje w nowsze maszyny z układami ARM (np. chipy M-series), pomija starsze urządzenia z Intelem, a jeżeli wykryje, iż działa wewnątrz maszyny wirtualnej, zaniecha infekcji. Świadczy to o zastosowaniu technik mających na celu utrudnienie analizy programu i minimalizację ryzyka ujawnienia autora.
Co kradnie DigitStealer
Po uruchomieniu malware próbuje – zwykle niepostrzeżenie – wykraść szeroki zakres danych:
- pliki, dokumenty, notatki i inne prywatne dane przechowywane lokalnie,
- dane z przeglądarek (hasła, cookies, sesje) – popularnych przeglądarek używanych na macOS,
- hasła zapisane w systemowym portfelu (keychain), konfiguracje VPN-ów, dane portfeli kryptowalutowych oraz sesje komunikatorów (np. Telegram).
Cała operacja kradzieży odbywa się w pamięci (RAM), bez pozostawiania plików na dysku – co czyni wykrycie i analizę znacznie trudniejszymi.
Ewolucja zagrożeń dla macOS
DigitStealer nie jest pierwszym stealerem atakującym macOS – w ostatnich latach rośnie liczba podobnych zagrożeń. Według danych z 2025 roku malware typu infostealer staje się najczęstszą formą złośliwego systemu na Macach, wyprzedzając adware.
Fakt ten świadczy o zmianie krajobrazu zagrożeń: użytkownicy macOS – historycznie uważani za mniej narażonych – muszą mierzyć się z coraz bardziej wyrafinowanymi atakami. DigitStealer to przykład nowej generacji zagrożeń: atak wieloetapowy, ukierunkowany, świadomie dostosowany do zabezpieczeń Apple.
Jak się chronić?
Nie wszystko jest stracone: istnieje kilka dobrych praktyk, które – jeżeli są przestrzegane – znacząco utrudniają infekcję i kradzież danych:
- Instaluj oprogramowanie tylko z zaufanych, oficjalnych źródeł – unikaj przypadkowych linków, fałszywych „uaktualnień” i podejrzanych aplikacji.
- Nigdy nie wykonuj w terminalu poleceń podanych na stronach bez uprzedniego zweryfikowania ich źródła.
- Utrzymuj system operacyjny i oprogramowanie zabezpieczające w najnowszej wersji – malware korzysta z luk systemowych i znanych błędów.
- Warto korzystać z narzędzi z ochroną behawioralną (behavioral detection), które potrafią wychwycić podejrzane działania, choćby jeżeli malware nie zostawia plików.
- Jeżeli to możliwe – włącz uwierzytelnianie wieloskładnikowe (MFA) w kluczowych usługach, by kradzież jednego hasła nie wystarczyła do przejęcia dostępu.
Dla nas – specjalistów od cyberbezpieczeństwa – przypadek DigitStealer to kolejny sygnał, iż ataki na macOS przestały być niszowe. To, co kiedyś było domeną adware lub mniej groźnych programów, dziś rozrasta się do pełnoprawnych kampanii infostealerów, często ukierunkowanych na konkretny cel – z pełnym zestawem technik unikania wykrycia, ataków wieloetapowych i wyrafinowanej socjotechniki.
Powinno to wzbudzić czujność – zarówno wśród osób odpowiedzialnych za bezpieczeństwo w firmach, jak i zwykłych użytkowników. Dobry system ochrony to dziś za mało: potrzebna jest świadomość zagrożeń, edukacja i bieżąca weryfikacja źródeł oprogramowania.
