Новое вредоносное ПО для кражи информации под названием Infinity Stealer нацелено на системы macOS с полезной нагрузкой на Python, упакованной в исполняемый файл с использованием компилятора с открытым исходным кодом Nuitka.
Атака использует технику ClickFix, представляя поддельный CAPTCHA, имитирующий проверку подлинности Cloudflare, чтобы обманом заставить пользователей выполнить вредоносный код.
Исследователи из Malwarebytes заявляют, что это первая задокументированная кампания для macOS, сочетающая доставку через ClickFix с инфостилером на основе Python, скомпилированным с помощью Nuitka.
Поскольку Nuitka создает нативный бинарный файл, компилируя скрипт Python в код C, полученный исполняемый файл более устойчив к статической аналитике.
По сравнению с PyInstaller, который упаковывает Python с байт-кодом, этот метод более скрытен, поскольку он создает настоящий нативный бинарный файл без очевидного слоя байт-кода, что значительно усложняет обратную разработку.
«Финальная полезная нагрузка написана на Python и скомпилирована с помощью Nuitka, что дает нативный бинарный файл для macOS. Это усложняет анализ и обнаружение по сравнению с типичным вредоносным ПО на основе Python», — заявляет Malwarebytes.
Цепочка атаки
Атака начинается с приманки ClickFix на домене update-check[.]com, которая маскируется под шаг проверки подлинности человека от Cloudflare и просит пользователя выполнить задание, вставив в Терминал macOS команду curl, обфусцированную в base64, тем самым обходя защиту на уровне ОС.
Команда декодирует скрипт Bash, который записывает стадию 2 (загрузчик Nuitka) в /tmp, затем снимает флаг карантина и выполняет его через ‘nohup’. Наконец, он передает команды управления (C2) и токен через переменные окружения, после чего удаляет себя и закрывает окно Терминала.
Загрузчик Nuitka представляет собой бинарный файл Mach-O размером 8,6 МБ, содержащий архив размером 35 МБ, сжатый с помощью zstd, который включает стадию 3 (UpdateHelper.bin) — само вредоносное ПО Infinity Stealer.
Прежде чем приступить к сбору конфиденциальных данных, вредоносное ПО выполняет проверки против анализа, чтобы определить, запущено ли оно в виртуализированной среде или «песочнице».
Анализ полезной нагрузки Python 3.11, проведенный Malwarebytes, выявил, что инфостилер способен делать снимки экрана и извлекать следующие данные:
- Учетные данные из браузеров на базе Chromium и Firefox
- Записи macOS Keychain
- Криптовалютные кошельки
- Секреты в открытом виде в файлах разработчика, таких как .env
Все украденные данные эксфильтруются посредством HTTP POST-запросов на C2, а по завершении операции злоумышленникам отправляется уведомление в Telegram.
Malwarebytes подчеркивает, что появление такого вредоносного ПО, как Infinity Stealer, является доказательством того, что угрозы для пользователей macOS становятся все более изощренными и целенаправленными.
Пользователям никогда не следует вставлять в Терминал команды, найденные в Интернете, если они их не понимают до конца.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas
