Новый штамм вредоносного ПО, получивший название Infiniti Stealer, заражает компьютеры Mac, используя поведение пользователей, а не традиционные методы взлома. Атака, подробно описанная в недавнем отчете Malwarebytes, использует технику социальной инженерии под названием «ClickFix» для обхода средств защиты и кражи конфиденциальных данных. Это представляет собой изменение тактики, поскольку злоумышленники все чаще нацеливаются на устройства Apple, ошибочно полагая, что они менее уязвимы.
Как работает Infiniti Stealer: Метод ClickFix
Кампания начинается с фишинговой схемы или скомпрометированной веб-страницы, которая представляет поддельную капчу «подтверждения личности Cloudflare». Жертвам предлагается выполнить стандартную проверку «Я не робот», но также им дается указание выполнить «ручной шаг»: открыть приложение Terminal на своем Mac и вставить предоставленный код.
«Поскольку пользователь запускает команду напрямую, многие традиционные средства защиты обходятся. Нет эксплойта, нет вредоносного вложения и нет загрузки при посещении сайта.»
– Malwarebytes
Эта команда доставляет вредоносное ПО Infiniti Stealer непосредственно в систему. Тот факт, что пользователи охотно выполняют вредоносный код, значительно усложняет обнаружение, поскольку это позволяет избежать типичных триггеров вредоносного ПО.
Возможности вредоносного ПО и технические детали
Infiniti Stealer написан на Python, но скомпилирован с помощью Nuitka, который преобразует его в собственный бинарный файл macOS. Это значительно усложняет анализ и обнаружение. После установки вредоносное ПО крадет пароли, скриншоты, данные браузера (включая файлы cookie) и другую конфиденциальную информацию, отправляя ее на сервер злоумышленника.
Эта кампания примечательна как первый задокументированный случай, сочетающий метод доставки ClickFix с Python-стилером, скомпилированным с помощью Nuitka. Эта тенденция подчеркивает растущую изощренность того, как злоумышленники нацеливаются на Mac, переходя от простых эксплойтов к более обманным техникам.
Как защититься от этой угрозы
Пользователям следует быть предельно осторожными при выполнении инструкций с незнакомых веб-сайтов. Ни один легитимный процесс капчи или проверки не требует ввода кода в приложение Terminal. Если вы не знакомы с кодом, избегайте любых процессов, которые просят вас вставить команды в Terminal.
Если вы подозреваете, что ваш Mac заражен, немедленно прекратите его использование. Измените свои пароли на другом, чистом устройстве и при возможности отзовите доступ с скомпрометированного компьютера.
Общая тенденция нацеливания на устройства Apple
Infiniti Stealer является частью более широкой тенденции, когда злоумышленники все чаще нацеливаются на устройства Apple. Этот сдвиг обусловлен заблуждением, что Mac невосприимчивы к вредоносному ПО. Другие недавние угрозы, такие как DarkSword, нацеленный на iPhone, демонстрируют, что iOS и macOS столь же уязвимы, как и другие платформы, когда пользователи обманом заставляются включать вредоносный код.
