Nový kmen malwaru, nazvaný Infiniti Stealer, infikuje počítače Mac pomocí uživatelského chování namísto tradičních hackerských metod. Útok, podrobně popsaný v nedávné zprávě Malwarebytes, využívá techniku sociálního inženýrství zvanou „ClickFix“ k obcházení bezpečnostních kontrol a odcizení citlivých dat. To představuje změnu v taktice, protože útočníci se stále častěji zaměřují na zařízení Apple v mylném přesvědčení, že jsou méně zranitelná.
Jak Infiniti Stealer funguje: Metoda ClickFix
Kampaň začíná phishingovým podvodem nebo kompromitovanou webovou stránkou, která představuje falešný captcha „ověření identity Cloudflare“. Oběti jsou požádány, aby dokončily standardní kontrolu „Nejsem robot“, ale také jsou instruovány, aby provedly „ruční krok“: Otevřete aplikaci Terminal na vašem Macu a vložte poskytnutý kód.
“Protože uživatel spouští příkaz přímo, mnoho tradičních ochran je obejito. Při návštěvě webu nedochází k žádnému zneužití, žádné škodlivé příloze a žádnému stahování.”
– Malwarebytes
Tento příkaz doručí malware Infiniti Stealer přímo do systému. Skutečnost, že uživatelé dobrovolně spouštějí škodlivý kód, značně ztěžuje detekci, protože se vyhne typickým spouštěčům malwaru.
Možnosti malwaru a technické podrobnosti
Infiniti Stealer je napsán v Pythonu, ale zkompilován pomocí Nuitka, která jej převádí do nativního binárního systému macOS. To činí analýzu a detekci mnohem obtížnější. Po instalaci malware krade hesla, snímky obrazovky, data prohlížeče (včetně souborů cookie) a další citlivé informace a odesílá je na server útočníka.
Tato kampaň je pozoruhodná jako první zdokumentovaný případ, který kombinuje způsob doručení ClickFix s Python zlodějem sestaveným s Nuitkou. Tento trend zdůrazňuje rostoucí propracovanost toho, jak útočníci cílí na počítače Mac, a přecházejí od jednoduchých exploitů k podvodnějším technikám.
Jak se chránit před touto hrozbou
Uživatelé by měli být extrémně opatrní při dodržování pokynů z neznámých webových stránek. Žádný legitimní captcha nebo ověřovací proces nevyžaduje zadání kódu do aplikace Terminal. Pokud nejste obeznámeni s kódem, vyhněte se procesům, které vás vyzývají k vkládání příkazů do terminálu.
Pokud máte podezření, že je váš Mac infikován, okamžitě jej přestaňte používat. Změňte svá hesla na jiném, čistém zařízení a pokud je to možné, zrušte přístup z napadeného počítače.
Obecný trend cílení na zařízení Apple
Infiniti Stealer je součástí rozsáhlejšího trendu, kdy se útočníci stále častěji zaměřují na zařízení Apple. Tento posun je způsoben mylnou představou, že počítače Mac jsou imunní vůči malwaru. Jiné nedávné hrozby, jako je DarkSword zacílené na iPhony, ukazují, že iOS a macOS jsou stejně zranitelné jako jiné platformy, když jsou uživatelé podvedeni k aktivaci škodlivého kódu.
