Nowy szczep złośliwego oprogramowania, nazwany Infiniti Stealer, infekuje komputery Mac, wykorzystując zachowania użytkowników, a nie tradycyjne metody hakowania. Atak, szczegółowo opisany w niedawnym raporcie Malwarebytes, wykorzystuje technikę socjotechniki zwaną „ClickFix” w celu ominięcia kontroli bezpieczeństwa i kradzieży wrażliwych danych. Oznacza to zmianę taktyki, ponieważ napastnicy coraz częściej atakują urządzenia Apple, wierząc, że są one mniej podatne na ataki.
Jak działa Infiniti Stealer: metoda ClickFix
Kampania rozpoczyna się od oszustwa typu phishing lub zainfekowanej strony internetowej przedstawiającej fałszywą captcha „weryfikację tożsamości Cloudflare”. Ofiary proszone są o wypełnienie standardowego testu „Nie jestem robotem”, ale są też proszone o wykonanie „kroku ręcznego”: Otwórz aplikację Terminal na komputerze Mac i wklej otrzymany kod.
„Ponieważ użytkownik uruchamia polecenie bezpośrednio, wiele tradycyjnych zabezpieczeń jest pomijanych. Podczas odwiedzania witryny nie ma żadnych exploitów, złośliwych załączników ani pobierania plików.”
– Malwarebytes
To polecenie dostarcza złośliwe oprogramowanie Infiniti Stealer bezpośrednio do systemu. Fakt, że użytkownicy chętnie wykonują złośliwy kod, znacznie utrudnia wykrycie, ponieważ pozwala uniknąć typowych wyzwalaczy złośliwego oprogramowania.
Możliwości złośliwego oprogramowania i szczegóły techniczne
Infiniti Stealer jest napisany w Pythonie, ale skompilowany przy użyciu narzędzia Nuitka, które konwertuje go do natywnego pliku binarnego systemu macOS. To znacznie utrudnia analizę i wykrywanie. Po zainstalowaniu szkodliwe oprogramowanie kradnie hasła, zrzuty ekranu, dane przeglądarki (w tym pliki cookie) i inne poufne informacje, wysyłając je na serwer atakującego.
Ta kampania jest godna uwagi jako pierwszy udokumentowany przypadek połączenia metody dostarczania ClickFix ze złodziejem Pythona skompilowanym za pomocą Nuitki. Tendencja ta podkreśla rosnące wyrafinowanie sposobów, w jakie atakujący atakują komputery Mac, przechodząc od prostych exploitów do bardziej zwodniczych technik.
Jak chronić się przed tym zagrożeniem
Użytkownicy powinni zachować szczególną ostrożność podczas wykonywania instrukcji z nieznanych stron internetowych. Żaden legalny proces captcha ani weryfikacja nie wymaga wprowadzenia kodu do aplikacji Terminal. Jeśli nie znasz kodu, unikaj procesów wymagających wklejenia poleceń do terminala.
Jeśli podejrzewasz, że Twój Mac jest zainfekowany, natychmiast przestań go używać. Zmień hasła na innym, czystym urządzeniu i, jeśli to możliwe, unieważnij dostęp z zaatakowanego komputera.
Ogólny trend targetowania urządzeń Apple
Infiniti Stealer wpisuje się w szerszy trend, zgodnie z którym napastnicy coraz częściej atakują urządzenia Apple. Zmiana ta wynika z błędnego przekonania, że komputery Mac są odporne na złośliwe oprogramowanie. Inne niedawne zagrożenia, takie jak DarkSword atakujący iPhone’y, pokazują, że iOS i macOS są tak samo podatne na ataki jak inne platformy, gdy użytkownicy zostaną oszukani do włączenia złośliwego kodu.
