新しいマルウェア「Infiniti Stealer」が、macOSユーザーを標的に、仮想通貨ウォレットの認証情報やその他の機密データを盗む目的で確認されました。この攻撃は、サイバー犯罪者がこれまでWindows中心だった攻撃手法をMacエコシステムに適応させる傾向が強まっていることを示しています。
GoPlus SecurityとMalwarebytesのセキュリティ研究者は、macOSユーザーを標的とした「Infiniti Stealer」マルウェアを展開する新たなキャンペーンを発見しました。この攻撃ベクトルは、「ClickFix」として知られるソーシャルエンジニアリング手法に依存しています。ユーザーは、説得力があるが偽のCloudflare CAPTCHAページを提示され、人間であることを証明するためにMacのターミナルでコマンドを実行するよう指示されます。
このコマンドを実行すると、感染チェーンが開始されます。Bashスクリプトがダウンロードされて実行され、それが主要なマルウェアペイロードを取得します。この手法は以前、Windowsユーザーに対する攻撃で一般的でしたが、現在ではMacユーザーベースを標的とするように効果的に適応されており、サイバー犯罪者が多くの人がより安全だと認識しているオペレーティングシステムへの戦術的転換を示しています。
実行されると、「Infiniti Stealer」のペイロードは、貴重なデータを体系的に流出しようとします。このマルウェアは、ブラウザの認証情報ストア、中央のmacOSキーチェーン、および仮想通貨ウォレットに関連するファイルから情報を特定して盗むように特別にコード化されています。データを収集した後、HTTP POSTリクエストを介してリモートのコマンド&コントロール(C&C)サーバーに送信され、Telegramチャネルを介して攻撃者に通知が送られます。
検出と分析を複雑にするため、このマルウェアはPythonスクリプトをネイティブバイナリに変換するツールであるNuitkaを使用してコンパイルされます。これにより、セキュリティツールによる静的分析がより困難になります。この高度な窃取マルウェアの出現は、macOS上の仮想通貨保有者にとってのリスク増大を浮き彫りにし、ユーザーとウォレットプロバイダーの両方に、デフォルトのオペレーティングシステム保護を超えるセキュリティ対策を強化するよう圧力をかけています。