Um novo malware de roubo de informações chamado Infinity Stealer tem como alvo sistemas macOS com uma carga útil Python empacotada como um executável usando o compilador Nuitka de código aberto.
O ataque usa a técnica ClickFix, apresentando um CAPTCHA falso que imita a verificação humana da Cloudflare para induzir os usuários a executar código malicioso.
Pesquisadores da Malwarebytes dizem que esta é a primeira campanha documentada do macOS que combina a entrega ClickFix com um infostealer baseado em Python compilado usando Nuitka.
Como Nuitka produz um binário nativo compilando o script Python em código C, o executável resultante é mais resistente à análise estática.
Comparado ao PyInstaller, que agrupa Python com bytecode, é mais evasivo porque produz um binário nativo real sem nenhuma camada de bytecode óbvia, tornando a engenharia reversa muito mais difícil.
“A carga final é escrita em Python e compilada com Nuitka, produzindo um binário nativo do macOS. Isso torna mais difícil a análise e a detecção do que o malware típico baseado em Python”, Malwarebystes diz.
Cadeia de ataque
O ataque começa com uma isca ClickFix no domínio update-check(.)com, posando como uma etapa de verificação humana da Cloudflare e pedindo ao usuário para completar o desafio colando um comando curl ofuscado em base64 no Terminal macOS, ignorando as defesas no nível do sistema operacional.
.jpg)
Fonte: Malwarebytes
O comando decodifica um script Bash que grava o estágio 2 (carregador Nuitka) em /tmpremove o sinalizador de quarentena e o executa via ‘nohup’. Por fim, ele passa o comando e controle (C2) e o token por meio de variáveis de ambiente e depois se exclui e fecha a janela do Terminal.
O carregador Nuitka é um binário Mach-O de 8,6 MB que contém um arquivo compactado zstd de 35 MB, contendo o estágio 3 (UpdateHelper.bin), que é o malware Infinity Stealer.
.jpg)
Fonte: Malwarebytes
Antes de começar a coletar dados confidenciais, o malware realiza verificações anti-análise para determinar se está sendo executado em um ambiente virtualizado/em área restrita.
A análise da Malwarebytes da carga útil do Python 3.11 descobriu que o ladrão de informações pode fazer capturas de tela e coletar os seguintes dados:
- Credenciais de navegadores baseados em Chromium e Firefox
- Entradas do chaveiro do macOS
- Carteiras de criptomoeda
- Segredos de texto simples em arquivos de desenvolvedor, como .env
Todos os dados roubados são exfiltrados por meio de solicitações HTTP POST para o C2, e uma notificação do Telegram é enviada aos agentes da ameaça após a conclusão da operação.
A Malwarebytes sublinha que o aparecimento de malware como o Infinity Stealer é a prova de que as ameaças aos utilizadores do macOS estão cada vez mais avançadas e direcionadas.
Os usuários nunca devem colar no Terminal comandos que encontram online e não entendem totalmente.
O pentesting automatizado prova que o caminho existe. O BAS prova se seus controles o impedem. A maioria das equipes executa um sem o outro.
Este whitepaper mapeia seis superfícies de validação, mostra onde termina a cobertura e fornece aos profissionais três perguntas de diagnóstico para qualquer avaliação de ferramenta.
Deseja saber mais sobre Segurança Clique Aqui!
Perito em Computação Forense e Crimes Cibernéticos
Investigação Digital | Laudos Técnicos | Resposta a Incidentes
Bacharel em Sistemas da Informação, Certificado Microsoft Azure IA e MOS. Trabalho como Administrador de Redes, Firewall e Servidores Windows e Linux!
Minhas atividades favoritas são: Caminhar, Fazer Trilhas, Natureza, Insetos e claro ler sobre Tecnologia.