Ένα νέο κακόβουλο λογισμικό κλοπής πληροφοριών με το όνομα Infinity Stealer στοχεύει συστήματα macOS με ωφέλιμο φορτίο Python συσκευασμένο ως εκτελέσιμο αρχείο χρησιμοποιώντας τον μεταγλωττιστή ανοιχτού κώδικα Nuitka.
Η επίθεση χρησιμοποιεί την τεχνική ClickFix, παρουσιάζοντας ένα ψεύτικο CAPTCHA που μιμείται τον ανθρώπινο έλεγχο επαλήθευσης του Cloudflare για να εξαπατήσει τους χρήστες να εκτελέσουν κακόβουλο κώδικα.
Ερευνητές στο Malwarebytes λένε ότι αυτή είναι η πρώτη τεκμηριωμένη καμπάνια macOS που συνδυάζει την παράδοση ClickFix με έναν infostealer που βασίζεται σε Python και έχει μεταγλωττιστεί χρησιμοποιώντας Nuitka.
Επειδή η Nuitka παράγει ένα εγγενές δυαδικό σύστημα μεταγλωττίζοντας το σενάριο Python σε κώδικα C, το εκτελέσιμο που προκύπτει είναι πιο ανθεκτικό στη στατική ανάλυση.
Σε σύγκριση με το PyInstaller, το οποίο συνδυάζει την Python με bytecode, είναι πιο αποφυγή επειδή παράγει ένα πραγματικό εγγενές δυαδικό αρχείο χωρίς προφανές επίπεδο bytecode, καθιστώντας την αντίστροφη μηχανική πολύ πιο δύσκολη.
“Το τελικό ωφέλιμο φορτίο είναι γραμμένο σε Python και μεταγλωττίζεται με Nuitka, δημιουργώντας ένα εγγενές δυαδικό macOS. Αυτό καθιστά πιο δύσκολη την ανάλυση και τον εντοπισμό από το τυπικό κακόβουλο λογισμικό που βασίζεται στην Python.” λέει το Malwarebystes.
Αλυσίδα επίθεσης
Η επίθεση ξεκινά με ένα δέλεαρ ClickFix στον έλεγχο ενημέρωσης τομέα[.]com, που παρουσιάζεται ως ένα βήμα επαλήθευσης από τον άνθρωπο από το Cloudflare και ζητώντας από τον χρήστη να ολοκληρώσει την πρόκληση επικολλώντας μια εντολή curl με το base64 στο τερματικό macOS, παρακάμπτοντας τις άμυνες σε επίπεδο λειτουργικού συστήματος.
.jpg)
Πηγή: Malwarebytes
Η εντολή αποκωδικοποιεί ένα σενάριο Bash που εγγράφει το στάδιο-2 (φορτωτής Nuitka). /tmpστη συνέχεια αφαιρεί τη σημαία καραντίνας και την εκτελεί μέσω του ‘nohup’. Τέλος, περνά την εντολή και τον έλεγχο (C2) και το διακριτικό μέσω μεταβλητών περιβάλλοντος και στη συνέχεια διαγράφεται και κλείνει το παράθυρο του τερματικού.
Ο φορτωτής Nuitka είναι ένα δυαδικό αρχείο 8,6 MB Mach-O που περιέχει ένα συμπιεσμένο αρχείο zstd 35 MB, το οποίο περιέχει το στάδιο-3 (UpdateHelper.bin), το οποίο είναι το κακόβουλο λογισμικό Infinity Stealer.
.jpg)
Πηγή: Malwarebytes
Πριν αρχίσει να συλλέγει ευαίσθητα δεδομένα, το κακόβουλο λογισμικό εκτελεί ελέγχους αντι-ανάλυσης για να προσδιορίσει εάν εκτελείται σε εικονικό περιβάλλον/περιβάλλον δοκιμών.
Η ανάλυση του Malwarebytes για το ωφέλιμο φορτίο Python 3.11 αποκάλυψε ότι ο info-stealer μπορεί να τραβήξει στιγμιότυπα οθόνης και να συλλέξει τα ακόλουθα δεδομένα:
- Διαπιστευτήρια από προγράμματα περιήγησης που βασίζονται στο Chromium και Firefox
- Εγγραφές στο macOS Keychain
- Πορτοφόλια κρυπτονομισμάτων
- Μυστικά απλού κειμένου σε αρχεία προγραμματιστών, όπως το .env
Όλα τα κλεμμένα δεδομένα διοχετεύονται μέσω αιτημάτων HTTP POST στο C2 και αποστέλλεται μια ειδοποίηση Telegram στους φορείς απειλών μετά την ολοκλήρωση της λειτουργίας.
Η Malwarebytes υπογραμμίζει ότι η εμφάνιση κακόβουλου λογισμικού όπως το Infinity Stealer είναι απόδειξη ότι οι απειλές για τους χρήστες macOS γίνονται όλο και πιο προηγμένες και στοχευμένες.
Οι χρήστες δεν πρέπει ποτέ να επικολλούν σε εντολές τερματικού που βρίσκουν στο διαδίκτυο και δεν κατανοούν πλήρως.
Η αυτοματοποιημένη διενέργεια δοκιμής αποδεικνύει ότι η διαδρομή υπάρχει. Το BAS αποδεικνύει εάν τα χειριστήρια σας το σταματούν. Οι περισσότερες ομάδες τρέχουν η μία χωρίς την άλλη.
Αυτή η λευκή βίβλος χαρτογραφεί έξι επιφάνειες επικύρωσης, δείχνει πού τελειώνει η κάλυψη και παρέχει στους επαγγελματίες τρεις διαγνωστικές ερωτήσεις για οποιαδήποτε αξιολόγηση εργαλείου.
VIA: bleepingcomputer.com
