Pagini false de verificare CAPTCHA Cloudflare răspândesc malware-ul Infiniti Stealer pe sistemele Apple macOS

Un nou malware pentru macOS, care nu a fost documentat anterior, păcălește subtil utilizatorii prin pagini false de verificare umană Cloudflare.

Denumit Infiniti Stealer, acest malware folosește o tehnică bine-cunoscută de inginerie socială numită ClickFix pentru a convinge utilizatorii de Mac să execute comenzi periculoase direct pe propriile dispozitive, ocolind necesitatea oricărei vulnerabilități software sau a unui exploit, potrivit SecurityWeek.

Atac ClickFix cu pagină Cloudflare falsă instalează Infiniti Stealer pe computerele Mac

Atacul începe cu o pagină CAPTCHA falsă care afișează o verificare umană Cloudflare cu aspect legitim, cerând vizitatorilor să lipească și să execute o comandă în Terminal.

Denumită ClickFix, tehnica se bazează pe inginerie socială pentru a păcăli utilizatorii să ruleze comenzi rău intenționate pe dispozitivele lor și a fost utilizată pe scară largă în atacuri din august 2024, în principal împotriva utilizatorilor de Windows.

În ultimele șase luni, atacurile adaptate pentru macOS au devenit tot mai convingătoare, iar varianta observată de Malwarebytes nu face excepție.

Cercetătorii de la Malwarebytes afirmă că aceasta este prima campanie documentată pentru macOS care combină livrarea ClickFix cu un program de furt de informații bazat pe Python, compilat cu Nuitka.

Deoarece Nuitka produce un fișier binar nativ prin compilarea scriptului Python în cod C, executabilul rezultat devine mai rezistent la analiza statică.

Malware pentru macOS

Utilizatorii de macOS sunt vizați într-o nouă campanie ClickFix, care folosește o pagină de verificare cu tema Cloudflare pentru a livra un program de furt de informații bazat pe Python, potrivit Malwarebytes.

Pagina falsă de verificare oferă utilizatorilor instrucțiuni specifice pentru a deschide Terminalul și a lipi o comandă falsă de verificare, care declanșează executarea malware-ului.

După rularea comenzii, un script Bash este descărcat de pe un server la distanță. Acesta decodifică o sarcină utilă încorporată, scrie programul pentru a doua etapă într-un folder temporar, îi elimină indicatorul de carantină și îl execută.

Scriptul transmite serverului de comandă și control (C&C) tokenurile de autentificare, se șterge singur și închide Terminalul.

Fișierul plasat de script este un „loader” compilat cu Nuitka. Compilatorul transformă codul Python într-un fișier binar nativ, îngreunând analiza antimalware.

După rulare, încărcătorul decomprimă datele încorporate și lansează încărcătura finală, identificată ca Infiniti Stealer.

Programul de furt de informații bazat pe Python vizează datele de autentificare ale browserului, informațiile din Keychain, portofelele de criptomonede, secretele stocate în fișierele dezvoltatorilor și capturile de ecran realizate în timpul execuției.

Datele sunt transmise către serverul C&C prin cereri HTTP POST. După finalizarea operațiunii, malware-ul trimite o notificare către un canal Telegram și adaugă datele de autentificare capturate într-o coadă pentru spargere pe server.

Pentru a evita detectarea, Infiniti Stealer folosește o întârziere de execuție aleatorie și verifică dacă sistemul rulează într-un mediu de analiză cunoscut.

„Infiniti Stealer arată cum tehnicile care au funcționat pe Windows, precum ClickFix, sunt acum adaptate pentru a viza utilizatorii de Mac. De asemenea, utilizează metode noi, precum compilarea Python în aplicații native, ceea ce face malware-ul mai greu de detectat și analizat. Dacă această abordare se dovedește eficientă, este posibil să vedem mai multe atacuri similare”, notează Malwarebytes.

Specialiștii subliniază că apariția amenințărilor precum Infiniti Stealer confirmă faptul că atacurile asupra utilizatorilor de macOS devin tot mai avansate și mai țintite.

Utilizatorii nu ar trebui să introducă în Terminal comenzi găsite online dacă nu le înțeleg complet. Nicio pagină CAPTCHA legitimă nu va cere vreodată să deschideți Terminalul și să rulați o comandă. Dacă un site web vă solicită acest lucru, închideți-l imediat.