一种名为“Infiniti Stealer”的新型恶意软件变种已被发现,其目标是macOS用户,旨在窃取加密货币钱包凭据和其他敏感数据。此次攻击表明,网络犯罪分子正日益将之前针对Windows的攻击向量调整用于Mac生态系统。
GoPlus Security和Malwarebytes的安全研究人员发现了一项针对macOS用户部署“Infiniti Stealer”恶意软件的新活动。攻击向量依赖于一种名为“ClickFix”的社会工程学方法。用户会看到一个令人信服但却是伪造的Cloudflare CAPTCHA页面,该页面指示他们在其Mac的终端中运行一个命令,以证明自己是人类。
执行此命令会启动感染链。一个Bash脚本被下载并运行,进而获取主要的恶意软件有效载荷。这种技术以前在针对Windows用户的攻击中很常见,但现在已有效地调整用于针对Mac用户群体,这标志着网络犯罪分子对许多人认为更安全的操作系统进行了战术转变。
一旦执行,“Infiniti Stealer”有效载荷就会系统地寻求窃取有价值的数据。该恶意软件经过专门编码,可定位并窃取浏览器凭据存储、macOS中央钥匙串以及与加密货币钱包相关的文件中的信息。收集数据后,它会通过HTTP POST请求发送到远程命令和控制 (C&C) 服务器,并通过Telegram频道向攻击者发送通知。
为了使检测和分析复杂化,该恶意软件使用Nuitka编译,Nuitka是一个将Python脚本转换为本机二进制文件的工具。这使得安全工具的静态分析变得更加困难。这种复杂窃取程序的出现,凸显了macOS上加密货币持有者面临的日益增长的风险,促使用户和钱包提供商采取超越默认操作系统保护措施的增强安全措施。