Een nieuwe malwaresoort, genaamd Infiniti Stealer, infecteert Mac-computers door misbruik te maken van gebruikersgedrag in plaats van traditionele hackmethoden. De aanval, beschreven in een recent Malwarebytes-rapport, maakt gebruik van een social engineering-techniek genaamd “ClickFix” om beveiligingsmaatregelen te omzeilen en gevoelige gegevens te stelen. Dit betekent een verschuiving in tactiek, omdat aanvallers zich steeds vaker op Apple-apparaten richten in de valse veronderstelling dat ze minder kwetsbaar zijn.
Hoe Infiniti Stealer werkt: de ClickFix-methode
De campagne begint met een phishing-plan of een gecompromitteerde webpagina die een valse ‘Cloudflare menselijke verificatie’-captcha weergeeft. Slachtoffers wordt gevraagd een standaard ‘Ik ben geen robot’-controle uit te voeren, maar ook een ‘handmatige stap’ uit te voeren: de Terminal-app openen op hun Mac en de meegeleverde code plakken.
“Omdat de gebruiker de opdracht rechtstreeks uitvoert, worden veel traditionele verdedigingsmechanismen omzeild. Er is geen sprake van exploit, geen kwaadaardige bijlage en geen drive-by download.”
– Malwarebytes
Deze opdracht levert de Infiniti Stealer-malware rechtstreeks op het systeem. Het feit dat gebruikers vrijwillig de kwaadaardige code uitvoeren, maakt detectie aanzienlijk moeilijker, omdat typische malware-triggers worden vermeden.
De mogelijkheden en technische details van de malware
Infiniti Stealer is geschreven in Python maar gecompileerd met Nuitka, dat het omzet in een native macOS-binair bestand. Dit maakt analyse en detectie veel complexer. Eenmaal geïnstalleerd steelt de malware wachtwoorden, schermafbeeldingen, browsergegevens (inclusief cookies) en andere gevoelige informatie en verzendt deze naar de server van de aanvaller.
Deze campagne is opmerkelijk omdat het de eerste gedocumenteerde casus is waarin de ClickFix-bezorgmethode wordt gecombineerd met een door Nuitka gecompileerde Python-stealer. De trend onderstreept een toenemende verfijning in de manier waarop aanvallers zich op Macs richten, waarbij ze voorbij eenvoudige exploits gaan en overgaan op meer misleidende technieken.
Jezelf tegen deze dreiging beschermen
Gebruikers moeten uiterst voorzichtig zijn bij het volgen van instructies van onbekende websites. Geen enkel legitiem captcha- of verificatieproces vereist het invoeren van code in de Terminal-app. Als u niet vertrouwd bent met code, vermijd dan elk proces waarbij u wordt gevraagd opdrachten in Terminal te plakken.
Als u vermoedt dat uw Mac is geïnfecteerd, stop dan onmiddellijk met het gebruik ervan. Wijzig uw wachtwoorden op een afzonderlijk, schoon apparaat en trek indien mogelijk de toegang tot de besmette computer in.
De bredere trend van het targeten van Apple-apparaten
Infiniti Stealer maakt deel uit van een bredere trend waarbij aanvallers zich steeds meer op Apple-apparaten richten. Deze verschuiving wordt veroorzaakt door de misvatting dat Macs immuun zijn voor malware. Andere recente bedreigingen, zoals DarkSword gericht op iPhones, laten zien dat iOS en macOS net zo kwetsbaar zijn als andere platforms wanneer gebruikers worden misleid om kwaadaardige code mogelijk te maken.
