Hrozby pro macOS: Útočníci závěrem loňského roku kradli uživatelská data

Malware PSW.Agent je infostealer, který útočníci využívají ke krádeži citlivých a osobních údajů svých obětí. 

„Škodlivý kód PSW.Agent jsme na platformě macOS sledovali po celý loňský rok. Poslední čtvrtletí pak potvrdilo, že tu máme opravdu významnou změnu v rozložení škodlivých kódů. Zatímco v minulých letech jednoznačně převládal adware, tento rok ve všech sledovaných obdobích stále více přebíral pomyslné žezlo právě infostealer určený ke krádežím našich dat. Infostealery známe velmi dobře například z prostředí operačního systému Windows. Rád bych zde zdůraznil, že jde o poměrně zásadní zprávu pro uživatele a uživatelky počítačů Apple. Jakkoli mohli v minulosti vnímat, že kybernetické hrozby pro tuto platformu bývají spíše mírnější, měli by nyní opravdu zpozornět. V případě infostealerů jsou v sázce osobní údaje, které mohou útočníkům zpřístupnit účty a cestu k penězům. Doporučoval bych jim tak zvážit kvalitní bezpečnostní software,“ uvedl Jiří Kropáč, vedoucí výzkumné pobočky společnosti ESET v Brně.

Se šířením infostealerů pomáhá SEO

Zatímco během roku 2025 šířili útočníci pod označením PSW.Agent především malware rodinu Atmos Stealer (AMOS), v posledním čtvrtletí loňského roku převládla rodina označovaná názvem Cuckoo infostealer. Obě rodiny infostealerů jsou si velmi podobné, a to jak po stránce svých funkcí, tak zacílení.

„I s využitím malwaru Cuckoo infostealer útočníci dokážou získat citlivá, osobní a jinak zajímavá uživatelská data. Jejich cílem nadále zůstala také data z prostředí kryptoměnových účtů a peněženek. Zajímají je také různé dokumenty nebo přihlašovací údaje k účtům,“ shrnul Kropáč. „V posledním čtvrtletí jsme se nejvíce setkali s tím, že útočníci ukrývali malware pod falešné konvertory, tedy nástroje k převodům multimediálních souborů – šlo například o falešný program Spotify Music Converter nebo Amazon Music Converter. Pokud si uživatelé takový program stáhli, protože například chtěli stáhnout a převést hudební soubor z aplikace do formátu mp3, vpustili při spuštění nástroje škodlivý kód do svého počítače. Aby podpořili rozšíření těchto škodlivých nástrojů mezi uživatele, využili útočníci techniku SEO. Podobně jako online reklamní specialisté v legitimních podnikatelských odvětvích,“ doplnil Kropáč.

Stejně jako v případě jiných aplikací nebo her bezpečnostní experti doporučují, aby uživatelé a uživatelky vždy stahovali programy a nástroje pouze z oficiálních obchodů daných platforem, v tomto případě tedy z App Store. Spolehlivým zdrojem malwaru jsou naopak veřejná úložiště a uživatelská fóra. Zpozornět bychom měli vždy, když narazíme na nějakou výhodnou nabídku. Pokud nějaká aplikace slibuje vyřešení problému na počítači úplně zdarma, vždy by to měl být podle nich varovný signál.

Rizikem jsou i scareware nebo cryptominery

V posledních třech měsících roku 2025 se na platformě macOS objevily i další typy škodlivých kódů, byť v daleko menším zastoupení, než tomu bylo v případě infostealeru.Šlo například o scareware nebo tzv. cryptominery.

„Škodlivý kód Downloader.Adload známe jako malware, který stahuje do zařízení další škodlivé kódy. V období od října do prosince loňského roku to tentokrát byly nejrůznější škodlivé čistící aplikace či nástroje určené k odinstalování programů. Downloader.Adload tyto škodlivé doplňky stahoval skrytě a ty se pak jako tzv. scareware snažili uživatele vystrašit nějakou urgentní zprávou o nutnosti nápravy a vyčištění jejího zařízení od nějaké hrozby,“ řekl Kropáč a dodal: „V desetině všech případů se objevil i škodlivý kód OSAMiner určený ke skryté těžbě kryptoměn bez vědomí majitele zařízení. Uživatelé ho opět mohli nejčastěji stáhnout jako domnělou aplikaci pro údržbu operačního systému poté, co klikli na podvodné reklamní okno v internetovém prohlížeči. Útočníci jej využívají k těžbě kryptoměny Monero.“

Bezpečnostní experti předpokládají, že s falešnými škodlivými programy a aplikacemi, které útočníci vydávají za legitimní služby známých značek, se budeme setkávat i v letošním roce.

Nejčastější kybernetické hrozby v Česku a na Slovensku pro platformu macOS za období od října do prosince 2025:

1. OSX/PSW.Agent (34 %)
2. OSX/TrojanDownloader.Adload (13 %)
3. OSX/OSAMiner (11 %)
4. OSX/Adware.Pirrit (8 %)
5. OSX/Adware.VSearch (5 %)