Une nouvelle souche de malware, baptisée Infiniti Stealer, infecte les ordinateurs Mac en exploitant le comportement des utilisateurs plutôt que les méthodes de piratage traditionnelles. L’attaque, détaillée dans un récent rapport de Malwarebytes, exploite une technique d’ingénierie sociale appelée « ClickFix » pour contourner les défenses de sécurité et voler des données sensibles. Cela représente un changement de tactique, car les attaquants ciblent de plus en plus les appareils Apple en supposant à tort qu’ils sont moins vulnérables.
Comment fonctionne Infiniti Stealer : la méthode ClickFix
La campagne commence par un stratagème de phishing ou une page Web compromise qui présente un faux captcha de « vérification humaine Cloudflare ». Les victimes sont invitées à effectuer une vérification standard « Je ne suis pas un robot », mais également à effectuer une « étape manuelle » : ouvrir l’application Terminal sur leur Mac et coller le code fourni.
“Étant donné que l’utilisateur exécute la commande directement, de nombreuses défenses traditionnelles sont contournées. Il n’y a pas d’exploit, pas de pièce jointe malveillante et pas de téléchargement drive-by.”
– Malwarebytes
Cette commande transmet le malware Infiniti Stealer directement au système. Le fait que les utilisateurs exécutent volontairement le code malveillant rend la détection beaucoup plus difficile, car elle évite les déclencheurs typiques des logiciels malveillants.
Capacités et détails techniques du logiciel malveillant
Infiniti Stealer est écrit en Python mais compilé avec Nuitka, qui le convertit en binaire natif macOS. Cela rend l’analyse et la détection beaucoup plus complexes. Une fois installé, le malware vole les mots de passe, les captures d’écran, les données du navigateur (y compris les cookies) et d’autres informations sensibles, les transmettant au serveur de l’attaquant.
Cette campagne est remarquable car c’est le premier cas documenté combinant la méthode de livraison ClickFix avec un voleur Python compilé par Nuitka. Cette tendance souligne une sophistication croissante dans la manière dont les attaquants ciblent les Mac, allant au-delà de simples exploits pour se tourner vers des techniques plus trompeuses.
Se protéger de cette menace
Les utilisateurs doivent être extrêmement prudents lorsqu’ils suivent les instructions provenant de sites Web inconnus. Aucun captcha ou processus de vérification légitime ne nécessite la saisie de code dans l’application Terminal. Si vous n’êtes pas à l’aise avec le code, évitez tout processus vous demandant de coller des commandes dans Terminal.
Si vous pensez que votre Mac est infecté, arrêtez immédiatement de l’utiliser. Modifiez vos mots de passe sur un appareil distinct et propre et révoquez l’accès de l’ordinateur compromis si possible.
La tendance plus large du ciblage des appareils Apple
Infiniti Stealer s’inscrit dans une tendance plus large selon laquelle les attaquants ciblent de plus en plus les appareils Apple. Ce changement est motivé par l’idée fausse selon laquelle les Mac sont immunisés contre les logiciels malveillants. D’autres menaces récentes, comme DarkSword ciblant les iPhones, démontrent qu’iOS et macOS sont tout aussi vulnérables que d’autres plates-formes lorsque les utilisateurs sont amenés à activer du code malveillant.
