一種名為「Infiniti Stealer」的新型惡意軟體變種已被發現,其目標是macOS使用者,旨在竊取加密貨幣錢包憑證和其他敏感資料。此次攻擊表明,網路犯罪分子正日益將之前針對Windows的攻擊向量調整用於Mac生態系統。
GoPlus Security和Malwarebytes的安全研究人員發現了一項針對macOS使用者部署「Infiniti Stealer」惡意軟體的新活動。攻擊向量依賴於一種名為「ClickFix」的社交工程學方法。使用者會看到一個令人信服但卻是偽造的Cloudflare CAPTCHA頁面,該頁面指示他們在其Mac的終端機中執行一個命令,以證明自己是人類。
執行此命令會啟動感染鏈。一個Bash腳本被下載並執行,進而獲取主要的惡意軟體有效載荷。這種技術以前在針對Windows使用者的攻擊中很常見,但現在已有效地調整用於針對Mac使用者群體,這標誌著網路犯罪分子對許多人認為更安全的作業系統進行了戰術轉變。
一旦執行,「Infiniti Stealer」有效載荷就會系統地尋求竊取有價值的資料。該惡意軟體經過專門編碼,可定位並竊取瀏覽器憑證儲存、macOS中央鑰匙串以及與加密貨幣錢包相關的檔案中的資訊。收集資料後,它會透過HTTP POST請求發送到遠端命令和控制 (C&C) 伺服器,並透過Telegram頻道向攻擊者發送通知。
為了使檢測和分析複雜化,該惡意軟體使用Nuitka編譯,Nuitka是一個將Python腳本轉換為本機二進位檔案的工具。這使得安全工具的靜態分析變得更加困難。這種複雜竊取程式的出現,凸顯了macOS上加密貨幣持有者面臨的日益增長的風險,促使用戶和錢包提供商採取超越默認作業系統保護措施的增強安全措施。
