Ένα νέο κακόβουλο λογισμικό macOS που δεν είχε τεκμηριωθεί προηγουμένως, ξεγελά αθόρυβα τους χρήστες μέσω ψεύτικων σελίδων ανθρώπινης επαλήθευσης Cloudflare.
Ονομάζεται Infiniti Stealer, αυτή η απειλή χρησιμοποιεί ένα γνωστό τέχνασμα κοινωνικής μηχανικής που ονομάζεται ClickFix για να πείσει τους χρήστες Mac να εκτελούν επικίνδυνες εντολές απευθείας στους δικούς τους υπολογιστές, παρακάμπτοντας την ανάγκη για οποιαδήποτε ευπάθεια λογισμικού ή εκμετάλλευση.
Για πολύ καιρό, πολλοί χρήστες Mac πίστευαν ότι τα συστήματά τους είναι φυσικά ανθεκτικά σε κακόβουλο λογισμικό. Το Infiniti Stealer αμφισβητεί αυτή την υπόθεση άμεσα. Το κακόβουλο λογισμικό αρχικά παρακολουθήθηκε με την εσωτερική ονομασία NukeChain κατά τη διάρκεια του συνηθισμένου κυνηγιού απειλών.
Λίγο πριν από τη δημόσια αποκάλυψή του, ο πίνακας ελέγχου χειριστή του ηθοποιού απειλής έγινε κατά λάθος ορατός στο διαδίκτυο, αποκαλύπτοντας το πραγματικό όνομα του κακόβουλου λογισμικού και επιβεβαιώνοντας ότι πρόκειται για μια δομημένη, συνεχιζόμενη καμπάνια που απευθύνεται απευθείας σε χρήστες macOS.
Οι αναλυτές του Malwarebytes εντόπισαν το Infiniti Stealer ως η πρώτη τεκμηριωμένη καμπάνια macOS που συνδυάζει την παράδοση ClickFix με ένα πρόγραμμα κλοπής Python που έχει μεταγλωττιστεί από τη Nuitka.
Η επίθεση ξεκινά σε έναν κακόβουλο τομέα, ενημέρωση-έλεγχος[.]com, το οποίο φιλοξενεί ένα σχεδόν τέλειο αντίγραφο μιας ανθρώπινης σελίδας επαλήθευσης Cloudflare.
.webp.jpeg)
Οι επισκέπτες στην ψεύτικη σελίδα λαμβάνουν οδηγίες να ανοίξουν το Terminal, να επικολλήσουν μια παρεχόμενη εντολή και να πατήσουν το Return. Αυτό που φαίνεται να είναι ένας έλεγχος ρουτίνας ταυτότητας ενεργοποιεί αμέσως ολόκληρη την αλυσίδα μόλυνσης.
Αυτό που κάνει αυτή την επίθεση ιδιαίτερα επικίνδυνη είναι ότι δεν βασίζεται σε κανένα ελάττωμα λογισμικού. Δεν υπάρχει κανένα κακόβουλο αρχείο για λήψη, κανένα συνημμένο phishing και καμία εκμετάλλευση μέσω Drive.
Ο εισβολέας εξαρτάται αποκλειστικά από τον χρήστη που τον εμπιστεύεται ψεύτικο CAPTCHA. Μόλις εκτελεστεί η εντολή, το ωφέλιμο φορτίο του κακόβουλου λογισμικού εκτελείται σιωπηλά στο παρασκήνιο, χωρίς να αφήνει εμφανές σημάδι ότι κάτι έχει πάει στραβά.
Η δυνατότητα ζημιάς του Infiniti Stealer είναι σοβαρή και εκτεταμένη. Το κακόβουλο λογισμικό έχει σχεδιαστεί για να συλλέγει διαπιστευτήρια σύνδεσης από προγράμματα περιήγησης που βασίζονται σε Chromium και τον Firefox, να συλλέγει καταχωρήσεις στο macOS Keychain, να αποστραγγίζει πορτοφόλια κρυπτονομισμάτων, λήψη στιγμιότυπων οθόνης κατά την εκτέλεση και λήψη μυστικών απλού κειμένου από αρχεία περιβάλλοντος προγραμματιστή, όπως .env.
Όλα τα δεδομένα που συλλέγονται αποστέλλονται σε έναν απομακρυσμένο διακομιστή μέσω αιτημάτων HTTP POST και ο χειριστής λαμβάνει μια άμεση ειδοποίηση Telegram μόλις ολοκληρωθεί η μεταφόρτωση.
Αλυσίδα μόλυνσης τριών σταδίων
Μόλις το θύμα εκτελέσει την εντολή Terminal, το Infiniti Stealer εργάζεται σε τρία ξεχωριστά στάδια για να ολοκληρώσει τον συμβιβασμό. Το πρώτο είναι ένα σενάριο σταγονόμετρου Bash που χρησιμοποιεί ένα πρότυπο που βρέθηκε επίσης νωρίτερα Οι κλέφτες macOS όπως το MacSync, προτείνουν τη χρήση ενός κοινόχρηστου προγράμματος δημιουργίας κακόβουλου λογισμικού.
.webp.jpeg)
Το σενάριο αποκωδικοποιεί ένα ενσωματωμένο ωφέλιμο φορτίο, γράφει το επόμενο στάδιο δυαδικό στο /tmp φάκελο, αφαιρεί το χαρακτηριστικό macOS quarantine και εκτελεί το αρχείο σιωπηλά χρησιμοποιώντας nohup.
Στη συνέχεια διαγράφεται και κλείνει το Terminal μέσω AppleScript, διασφαλίζοντας ότι το θύμα δεν βλέπει τίποτα ασυνήθιστο.
Το δεύτερο στάδιο παρέχει ένα δυαδικό αρχείο Apple Silicon Mach-O περίπου 8,6 MB, κατασκευασμένο χρησιμοποιώντας τη λειτουργία onefile της Nuitka.
.webp.jpeg)
Σε αντίθεση με το PyInstaller, η Nuitka μεταγλωττίζει τον πηγαίο κώδικα της Python σε C και παράγει ένα εγγενές δυαδικό αρχείο, καθιστώντας τη στατική ανάλυση σημαντικά πιο δύσκολη για εργαλεία ασφαλείας. Κατά το χρόνο εκτέλεσης, αυτός ο φορτωτής αποσυμπιέζει περίπου 35 MB ενσωματωμένων δεδομένων και παραδίδει την εκτέλεση στο τελικό ωφέλιμο φορτίο.
Το τρίτο στάδιο, UpdateHelper[.]bin είναι ένα Python 3.11 stealer που έχει επίσης μεταγλωττιστεί με Nuitka.
Προτού κλέψει οποιαδήποτε δεδομένα, ελέγχει εάν εκτελείται σε γνωστά περιβάλλοντα ανάλυσης, όπως any.run, Joe Sandbox, Hybrid Analysis, VMware ή VirtualBox.
Προσθέτει επίσης μια τυχαία καθυστέρηση εκτέλεσης για να αποφευχθεί η ενεργοποίηση αυτοματοποιημένων συστημάτων ανίχνευσης.
Εάν υποψιάζεστε ότι μπορεί να έχετε επηρεαστεί, λάβετε αμέσως αυτά τα βήματα:
- Σταματήστε να χρησιμοποιείτε τη συσκευή για ευαίσθητες δραστηριότητες, συμπεριλαμβανομένων τραπεζικών λογαριασμών, email και λογαριασμών εργασίας
- Αλλάξτε τους κωδικούς πρόσβασης από μια καθαρή συσκευή, ξεκινώντας με email, Apple ID και τραπεζικά διαπιστευτήρια
- Ανάκληση ενεργών περιόδων σύνδεσης και ακύρωση τυχόν διακριτικών API ή κλειδιών SSH
- Αναζητήστε τυχόν ασυνήθιστα αρχεία που έχουν τοποθετηθεί
/tmpκαι~/Library/LaunchAgents/ - Εκτελέστε μια πλήρη σάρωση ασφαλείας για να εντοπίσετε και να αφαιρέσετε τυχόν υπολειπόμενο κακόβουλο λογισμικό
Καμία νόμιμη σελίδα CAPTCHA δεν θα σας ζητήσει ποτέ να ανοίξετε το Terminal και να εκτελέσετε μια εντολή. Εάν κάποιος ιστότοπος σας υποδείξει να το κάνετε αυτό, κλείστε τον αμέσως.
