New Infinity Stealer malware grabs macOS data via ClickFix lures
Mis à jour :
Infinity Stealer : Une nouvelle menace sophistiquée pour macOS
Le logiciel malveillant « Infinity Stealer » cible les utilisateurs de macOS en utilisant la technique d’ingénierie sociale « ClickFix » et une charge utile Python compilée via Nuitka. Cette méthode permet aux attaquants de créer des binaires natifs difficiles à détecter et à analyser par les outils de sécurité classiques.
Points clés :
- Vecteur d’attaque : Utilisation d’un faux test CAPTCHA (imitation de Cloudflare) incitant la victime à copier-coller une commande malveillante dans le Terminal macOS.
- Technique d’évasion : L’usage du compilateur Nuitka transforme le script Python en binaire natif, contournant ainsi les analyses statiques basées sur le bytecode.
- Déroulement : La commande injectée télécharge un chargeur (loader) qui décompresse et exécute le malware, procède à des vérifications anti-sandbox, puis exfiltre les données.
- Données visées : Identifiants de navigateurs (Chromium/Firefox), trousseau d’accès macOS (Keychain), portefeuilles de cryptomonnaies et fichiers de configuration contenant des secrets (.env).
- Exfiltration : Les données sont envoyées via des requêtes HTTP POST, avec une notification de succès envoyée aux attaquants sur Telegram.
Vulnérabilités :
- Aucune CVE spécifique n’est associée, l’attaque reposant sur l’exploitation de la confiance de l’utilisateur (ingénierie sociale) pour exécuter des commandes arbitraires avec des privilèges légitimes via le Terminal.
Recommandations :
- Ne jamais copier-coller de commandes provenant de sources non fiables dans le Terminal, même si elles semblent provenir d’une procédure de vérification standard.
- Sensibiliser les utilisateurs aux tactiques de type « ClickFix » qui détournent les processus de sécurité courants.
- Maintenir une vigilance accrue sur les processus exécutés en arrière-plan, particulièrement ceux provenant de téléchargements récents.