Новий штам шкідливого ПЗ, що отримав назву Infiniti Stealer, заражає комп’ютери Mac, використовуючи поведінку користувачів, а не традиційні методи злому. Атака, детально описана в недавньому звіті Malwarebytes, використовує техніку соціальної інженерії під назвою “ClickFix” для обходу. Це зміна тактики, оскільки зловмисники все частіше націлюються на пристрої Apple, помилково вважаючи, що вони менш вразливі.
Як працює Infiniti Stealer: Метод ClickFix
Кампанія починається з фішингової схеми або скомпрометованої веб-сторінки, яка представляє фальшиву капчу “підтвердження особистості Cloudflare”. Жертвам пропонується виконати стандартну перевірку “Я не робот”, але також їм дається вказівка виконати “ручний крок”: відкрити програму Terminal на своєму Mac і вставити наданий код.
“Оскільки користувач запускає команду безпосередньо, багато традиційних засобів захисту обходяться. Немає експлойту, немає шкідливого вкладення і немає завантаження при відвідуванні сайту.”
– Malwarebytes
Ця команда доставляє шкідливе програмне забезпечення Infiniti Stealer безпосередньо в систему. Той факт, що користувачі охоче виконують шкідливий код значно ускладнює виявлення, оскільки це дозволяє уникнути типових тригерів шкідливого ПЗ.
Можливості шкідливого ПЗ та технічні деталі
Infiniti Stealer написаний на Python, але скомпільований за допомогою Nuitka, який перетворює його на власний бінарний файл macOS. Це значно ускладнює аналіз та виявлення. Після встановлення зловмисне програмне забезпечення краде паролі, скріншоти, дані браузера (включаючи файли cookie) та іншу конфіденційну інформацію, відправляючи її на сервер зловмисника.
Ця кампанія примітна як перший задокументований випадок, що поєднує метод доставки ClickFix із Python-стилером, скомпільованим за допомогою Nuitka. Ця тенденція підкреслює витонченість, що зростає, як зловмисники націлюються на Mac, переходячи від простих експлойтів до більш обманних технік.
Як захиститися від цієї загрози
Користувачам слід бути обережними при виконанні інструкцій з незнайомих веб-сайтів. Жоден легітимний процес капчі чи перевірки не вимагає введення коду до програми Terminal. Якщо ви не знайомі з кодом, уникайте будь-яких процесів, які просять вас вставити команди в Terminal.
Якщо ви підозрюєте, що ваш Mac заражений, негайно припиніть його використання. Змініть свої паролі на іншому, чистому пристрої та, якщо можливо, відкликайте доступ зі скомпрометованого комп’ютера.
Загальна тенденція націлювання на пристрої Apple
Infiniti Stealer є частиною ширшої тенденції, коли зловмисники все частіше націлюються на Apple. Цей зсув обумовлений помилкою, що Mac несприйнятливі до шкідливого ПЗ. Інші нещодавні загрози, такі як DarkSword, націлений на iPhone, демонструють, що iOS і macOS настільки ж уразливі, як і інші платформи, коли користувачі обманом змушуються включати шкідливий код.
