Nou malware pentru macOS, camuflat într-o pagină Cloudflare falsă, fură datele utilizatorilor
Un nou tip de malware pentru sistemele de operare macOS, denumit Infiniti Stealer, folosește o tehnică de inginerie socială pentru a fura informații de la utilizatori. Atacul se bazează pe o pagină falsă de verificare umană care imită interfața Cloudflare, inducând victimele să execute comenzi periculoase în terminal. Specialiștii în securitate cibernetică avertizează asupra acestei noi amenințări.
Atacul, care utilizează o metodă cunoscută sub numele de ClickFix, are ca scop păcălirea utilizatorilor de Mac prin intermediul unei pagini de verificare CAPTCHA false. Aceasta afișează o interfață similară cu cea a Cloudflare, solicitând utilizatorilor să introducă și să execute o comandă în terminal. Executarea acestei comenzi inițiază instalarea malware-ului Infiniti Stealer pe dispozitivele victimelor.
Cum funcționează atacul și ce riscuri implică
După ce comanda falsă este executată, un script Bash este descărcat de pe un server la distanță. Acesta are rolul de a decodifica o sarcină utilă predefinită, plasând în cele din urmă malware-ul într-un folder temporar de pe computerul victimei. Ulterior, scriptul șterge indicatorul de carantină al fișierului și îl execută.
Scriptul Bash transmite informațiile de autentificare către serverul de comandă și control (C&C), apoi se auto-șterge și închide terminalul. Fișierul instalat este un „loader” compilat cu Nuitka. Compilatorul transformă scriptul Python într-un fișier binar nativ, ceea ce îngreunează detectarea acestuia. După rulare, loader-ul dezarhivează datele încorporate și lansează încărcătura finală, Infiniti Stealer.
Acest malware vizează datele de autentificare ale browserului, informațiile din Keychain, portofelele de criptomonede și alte date sensibile. Aceste informații sunt trimise către serverul C&C prin cereri HTTP POST.
Metode de protecție și recomandări pentru utilizatori
Specialiștii în securitate recomandă utilizatorilor macOS să fie precauți în ceea ce privește comenzile executate în terminal. „Utilizatorii nu ar trebui să introducă în Terminal comenzi găsite online dacă nu le înțeleg complet. Nicio pagină CAPTCHA legitimă nu va cere vreodată să deschideți Terminalul și să rulați o comandă. Dacă un site web vă solicită acest lucru, închideți-l imediat”, avertizează aceștia.
De asemenea, este important ca utilizatorii să se asigure că au instalată o soluție de securitate actualizată și să fie atenți la orice activitate suspectă pe dispozitivele lor. Apariția acestui tip de amenințare evidențiază faptul că atacurile asupra utilizatorilor de macOS devin tot mai avansate.
Recent, au fost raportate o serie de cazuri similare, ceea ce subliniază necesitatea unei atenții sporite din partea utilizatorilor și a unei actualizări constante a măsurilor de securitate.
