Uma nova variedade de malware, chamada Infiniti Stealer, está infectando computadores Mac explorando o comportamento do usuário em vez de métodos tradicionais de hacking. O ataque, detalhado em um relatório recente da Malwarebytes, utiliza uma técnica de engenharia social chamada “ClickFix” para contornar as defesas de segurança e roubar dados confidenciais. Isto representa uma mudança de táctica, à medida que os atacantes visam cada vez mais os dispositivos Apple sob a falsa suposição de que são menos vulneráveis.
Como funciona o Infiniti Stealer: o método ClickFix
A campanha começa com um esquema de phishing ou página da web comprometida que apresenta um captcha falso de “verificação humana da Cloudflare”. As vítimas são solicitadas a concluir uma verificação padrão “Não sou um robô”, mas também são instruídas a realizar uma “etapa manual”: abrir o aplicativo Terminal no Mac e colar o código fornecido.
“Como o usuário executa o comando diretamente, muitas defesas tradicionais são contornadas. Não há exploração, nenhum anexo malicioso e nenhum download drive-by.”
– Malwarebytes
Este comando entrega o malware Infiniti Stealer diretamente ao sistema. O fato de os usuários executarem voluntariamente o código malicioso torna a detecção significativamente mais difícil, pois evita gatilhos típicos de malware.
As capacidades e detalhes técnicos do malware
O Infiniti Stealer é escrito em Python, mas compilado com Nuitka, que o converte em um binário nativo do macOS. Isso torna a análise e a detecção muito mais complexas. Uma vez instalado, o malware rouba senhas, capturas de tela, dados do navegador (incluindo cookies) e outras informações confidenciais, transmitindo-as ao servidor do invasor.
Esta campanha é notável como o primeiro caso documentado que combina o método de entrega ClickFix com um ladrão Python compilado em Nuitka. A tendência ressalta uma sofisticação crescente na forma como os invasores atacam os Macs, indo além de simples explorações para técnicas mais enganosas.
Protegendo-se dessa ameaça
Os usuários devem ser extremamente cautelosos ao seguir instruções de sites desconhecidos. Nenhum captcha legítimo ou processo de verificação requer a inserção de código no aplicativo Terminal. Se você não se sentir confortável com o código, evite qualquer processo que solicite a colagem de comandos no Terminal.
Se você suspeitar que seu Mac está infectado, pare de usá-lo imediatamente. Altere suas senhas em um dispositivo limpo e separado e revogue o acesso do computador comprometido, se possível.
A tendência mais ampla de segmentação de dispositivos Apple
O Infiniti Stealer faz parte de uma tendência mais ampla de invasores que visam cada vez mais dispositivos Apple. Essa mudança é impulsionada pelo equívoco de que os Macs são imunes a malware. Outras ameaças recentes, como o DarkSword direcionado aos iPhones, demonstram que o iOS e o macOS são tão vulneráveis quanto outras plataformas quando os usuários são induzidos a ativar código malicioso.
