微软安全研究团队发布报告指出，近年来以窃取账户凭证和会话数据为主的信息窃取程序，过去多与Windows环境相关，近期则出现更多针对macOS的攻击活动，显示攻击范围正扩大至多种操作系统。攻击者同时利用Python等跨平台语言降低改写门槛，并借助WhatsApp与PDF转换或编辑工具等常见使用场景扩大传播渠道，使窃密行动更容易渗透受害者的日常工作与生活流程。

微软自2025年底开始观察到多起macOS窃密攻击。常见入口是用户在网络上搜索软件或工具时，被Google广告或恶意广告引导至仿冒网站，这些网站要么提供伪装成正常程序的安装包，要么以社交工程手段诱骗用户在终端复制粘贴指令，进而投放DigitStealer、MacSync与Atomic macOS Stealer（AMOS）等专为macOS设计的窃密程序。

攻击者会收集浏览器登录凭证、保存的密码、加密货币钱包数据，以及云服务登录凭证和开发者环境中的敏感信息，包括钥匙串与开发用访问密钥等，汇总后上传至攻击者服务器，部分案例还会清除感染痕迹以降低追踪难度。

研究人员还观察到，过去一年多来通过钓鱼邮件传播的Python窃密攻击，窃取目标涵盖登录凭证、会话Cookie、验证令牌、信用卡信息与加密货币相关数据。微软表示，在2025年10月与12月调查的两起事件中，攻击链通过钓鱼邮件获取初始访问权限，建立持久化后从远程下载恶意载荷，并通过Telegram外传数据，同时配合混淆脚本与滥用合法服务等手法降低检测概率。

攻击者并非一定利用系统漏洞，有时会借助大众对常用服务的信任与使用规模作为掩护。微软举例，2025年11月曾出现滥用WhatsApp的多阶段攻击，从受害账户出发进行类蠕虫式扩散，通过自动化工具从被控制的账户群发消息与恶意附件，最终投放Eternidade Stealer，锁定银行与支付服务，以及多个加密货币交易平台与钱包服务的登录环境。

另一案例则是假冒PDF编辑器Crystal PDF的攻击。研究人员指出，攻击者通过SEO操纵搜索结果，将用户导向仿冒网站，利用用户处理PDF文件的日常需求作为诱饵。程序运行后通过计划任务建立持久化机制，并暗中获取Firefox与Chrome等浏览器中的Cookie、会话数据与凭证缓存等敏感信息。