Ανακαλύψτε πώς το Infiniti Stealer αφαιρεί τα δεδομένα σας: Τα μυστικά πίσω από την απάτη!

Σύνοψη

• Ανακαλύφθηκε το Infiniti Stealer, ένα προηγμένο κακόβουλο λογισμικό (infostealer) αποκλειστικά για macOS.
• Δεν εκμεταλλεύεται ευπάθειες του λειτουργικού συστήματος, αλλά χρησιμοποιεί κοινωνική μηχανική, εξαπατώντας τους χρήστες να εισάγουν κακόβουλες εντολές στο Terminal του Mac.
• Ο κώδικας είναι γραμμένος σε Python και μεταγλωττίζεται μέσω του Nuitka, δημιουργώντας ένα εκτελέσιμο αρχείο C που κρύβει τον αρχικό κώδικα και καθιστά δύσκολη την ανίχνευση από προγράμματα προστασίας.
• Σαρώνει για αποθηκευμένους κωδικούς, δεδομένα περιήγησης (cookies, ιστορικό), στοιχεία από το macOS Keychain και τοπικά πορτοφόλια κρυπτονομισμάτων.
• Απαραίτητη η προσοχή σε ιστοσελίδες που εμφανίζουν πλαστά σφάλματα (π.χ. “Απαιτείται ενημέρωση” ή ψεύτικα CAPTCHA) και προτρέπουν τη χρήση του Terminal.

Τι είναι το Infiniti Stealer και πώς λειτουργεί στο macOS;

Το Infiniti Stealer είναι ένα πρόσφατα ανιχνευθέν infostealer που στοχεύει αποκλειστικά συστήματα macOS. Χρησιμοποιεί τις πρακτικές κοινωνικής μηχανικής που γνωρίζουμε ως ClickFix, κινούμενο σε ένα ψεύτικο πρόβλημα του browser που αναγκάζει τα θύματα να επικολλήσουν κακόβουλο κώδικα στο Terminal. Αν και η ανάπτυξή του έγινε σε Python, η μεταγλώττιση μέσω του Nuitka καθιστά τον εντοπισμό του από λογισμικά ασφαλείας πιο περίπλοκο, εστιάζοντας στην άμεση υποκλοπή ευαίσθητων δεδομένων.

Η εξέλιξη της μεθόδου ClickFix στο οικοσύστημα της Apple

Οι επιθέσεις στα συστήματα Mac έχουν εξελιχθεί, προσαρμόζοντας τις τακτικές τους από την εκμετάλλευση κενών ασφαλείας (zero-day exploits) στην εκμετάλλευση της ανθρώπινης συμπεριφοράς. Το Infiniti Stealer είναι ένα χαρακτηριστικό παράδειγμα αυτής της αλλαγής, αξιοποιώντας την εκστρατεία που οι ερευνητές της Malwarebytes έχουν ονομάσει ClickFix.

Η διαδικασία μόλυνσης περιλαμβάνει τα εξής βήματα:

1. Η παγίδα: Ο χρήστης επισκέπτεται έναν παραβιασμένο ιστότοπο ή λαμβάνει ένα παραπλανητικό email, εκθέτοντας τον σε ένα πλαστό μηνύμα σφάλματος, το οποίο συχνά εμφανίζεται ως CAPTCHA ή αναγγελία για απουσία ενημέρωσης.
2. Η εντολή: Αντί για την παραδοσιακή λήψη αρχείου, το πλαστό μήνυμα καθοδηγεί τον χρήστη να ανοίξει το Terminal του macOS.
3. Η εκτέλεση: Το παράθυρο διαλόγου παρέχει έτοιμο κομμάτι κώδικα με κουμπί «Αντιγραφή». Ο ανυποψίαστος χρήστης εκτελεί την εντολή.

Αυτή η ενέργεια επιτρέπει στον κακόβουλο κώδικα, συνήθως μέσω εντολής curl ή python3, να παρακάμψει τις ενσωματωμένες προστασίες του macOS, αφού ο χρήστης την εκτελεί αυτομάτως.

Η χρήση Python και Nuitka Compiler

Ένα σημαντικό τεχνικό χαρακτηριστικό του Infiniti Stealer είναι η αρχιτεκτονική του. Οι δημιουργοί του χρησιμοποίησαν Python για τη λειτουργικότητα του infostealer. Ωστόσο, προτίμησαν το Nuitka για τη μεταγλώττιση του κώδικα.

Το Nuitka είναι ένας source-to-source compiler που μετατρέπει τον κώδικα Python σε γλώσσα C, παράγοντας αυτόνομα εκτελέσιμα αρχεία. Αυτή η προσέγγιση προσφέρει δύο σημαντικά πλεονεκτήματα:

• Obfuscation: Ο προκύπτων κώδικας C είναι δύσκολος στην ανάλυση μέσω αντίστροφης μηχανικής, σε σύγκριση με έναν απλό Python script.
• Evasion: Πολλά EDR και παραδοσιακά antivirus συστήματα έχουν υπογραφές για αρχεία από PyInstaller. Τα εκτελέσιμα του Nuitka έχουν διαφορετική δομή, παρακάμπτοντας πολλές στατικές αναλύσεις.

Δεδομένα-Στόχοι: Τι υποκλέπτει το Infiniti Stealer

Αφού εγκατασταθεί και εκτελεστεί το ωφέλιμο φορτίο, το Infiniti Stealer δρα άμεσα, εστιάζοντας στην εξόρυξη ευαίσθητων δεδομένων, χωρίς να κρυπτογραφεί τα αρχεία του συστήματος. Οι αναλύσεις από τη Malwarebytes επιβεβαιώνουν ότι το malware σαρώνει και εξάγει:

• Δεδομένα Web Browsers: Στοχεύει στους Chrome, Safari, Firefox, Edge, Brave και Opera, υποκλέπτοντας κωδικούς πρόσβασης και session cookies ως 2FA.
• Πορτοφόλια Κρυπτονομισμάτων: Αναζητά κλειδιά και αρχεία από δημοφιλή τοπικά wallets και browser extensions.
• Επικοινωνία: Εξάγει δεδομένα από εφαρμογές όπως το Telegram και το Discord.
• Apple Keychain: Επιχειρεί να αποκτήσει πρόσβαση στην ενσωματωμένη διαχείριση κωδικών του macOS.
• Στοιχεία Συστήματος: Συλλέγει πληροφορίες hardware για τη δημιουργία προφίλ του θύματος.

Όλα τα συλλεγμένα δεδομένα συμπιέζονται και αποστέλλονται σε απομακρυσμένους διακομιστές που διαχειρίζονται οι επιτιθέμενοι.

Ο αντίκτυπος στους χρήστες στην Ελλάδα και πρακτικά μέτρα προστασίας

Η εμφάνιση του Infiniti Stealer καταδεικνύει την έξαρση των επιθέσεων στα οικοσυστήματα της Apple. Στην ελληνική αγορά, η χρήση υπολογιστών Mac έχει αυξηθεί, τόσο σε οικιακό όσο και σε επαγγελματικό επίπεδο. Η εντύπωση ότι «τα Mac δεν κολλούν ιούς» καθιστά τους χρήστες ευάλωτους σε επιθέσεις κοινωνικής μηχανικής.

Οι τεχνικές ClickFix συχνά προσαρμόζονται σε τοπικές γλώσσες, καθιστώντας τις επιθέσεις πιο πειστικές για Ελληνόφωνους χρήστες.

Μέτρα προστασίας

1. Εκπαίδευση: Κανένα νόμιμο λογισμικό δεν θα ζητήσει ποτέ να επιλύσετε σφάλματα ή να αποδείξετε ότι είστε άνθρωπος, εκτελώντας εντολές στο Terminal.
2. Ασφάλεια Δικτύου: Χρησιμοποιήστε αξιόπιστους DNS, όπως το Cloudflare 1.1.1.2 για να μπλοκάρετε γνωστά domains.
3. Λογισμικό Ασφαλείας: Συγχρόνως με τη χρήση ενημερωμένου antivirus, η συμπεριφορική ανάλυση είναι κρίσιμη για τον εντοπισμό της κακόβουλης δραστηριότητας.

Με τη ματιά του Techgear

Η ανάλυση του Infiniti Stealer αναδεικνύει τη νέα πραγματικότητα της κυβερνοασφάλειας στο macOS. Οι επιτιθέμενοι αντιλαμβάνονται ότι το Gatekeeper, το SIP και η αρχιτεκτονική ARM καθιστούν δύσκολη τη δημιουργία παραδοσιακών ιών. Η στρατηγική τους εστιάζεται στην ανθρώπινη παράδοση του ελέγχου.

Η μέθοδος ClickFix μειώνει την πολυπλοκότητα των exploits, μεταφέροντας την ευθύνη στον χρήστη. Η χρήση του Nuitka από τους δημιουργούς αποδεικνύει την τεχνική τους ικανότητα, προσφέροντας σοβαρά εμπόδια στην ανάλυση του κώδικα.

Ως χρήστες, οφείλουμε να αναγνωρίζουμε τη σημασία του Terminal. Όταν κάποιος ζητά να το χρησιμοποιήσουμε, η καλύτερη αντίδραση είναι η άμεση αποσύνδεση από την επικοινωνία.