Исследователи Malwarebytes обнаружили новый инфостилер для macOS под названием Infiniti Stealer. Он распространяется через схему ClickFix: жертву убеждают вручную запустить команду в Terminal, из-за чего часть привычных защит просто не срабатывает.
Сценарий выглядит буднично. Письмо или сообщение обещает «обновление», без которого софт якобы не работает. Дальше пользователя перекидывают на домен update-check[.]com, где показывают «капчу» с дополнительным шагом: открыть Spotlight, запустить Terminal и вставить выданный код.
Как работает ClickFix в этой кампании
Ключевой трюк здесь в том, что пользователь сам запускает команду. По описанию Malwarebytes, в цепочке нет эксплойта, нет вредоносного вложения и нет drive-by загрузки. Команда запускает дроппер, а тот уже подтягивает и устанавливает Infiniti Stealer.
❗️ ПОДПИСЫВАЙСЯ НА НАШ КАНАЛ В ДЗЕНЕ И ЧИТАЙ КРУТЫЕ СТАТЬИ БЕСПЛАТНО
В отчёте Malwarebytes это сформулировано прямо: «Because the user runs the command directly, many traditional defenses are bypassed». По-человечески это означает, что часть защитных механизмов, которые хорошо ловят «файлик из письма», здесь остаются без работы — пользователь сам даёт системе выполнить то, что нужно атакующему.
Чем Infiniti Stealer отличается технически
Malwarebytes отдельно подчёркивает сборку вредоноса. Infiniti Stealer написали на Python, но скомпилировали через Nuitka. Это компилятор, который превращает Python-код в самостоятельный исполняемый файл.
На выходе получается нативный бинарник под macOS. По оценке исследователей, такой формат сложнее анализировать и детектировать, чем «типичный» Python-малварь, который часто поставляют как набор скриптов.
Malwarebytes заявляет, что это первая задокументированная кампания на macOS, которая сочетает ClickFix-доставку и Nuitka-компиляцию Python-стилера.
Какие данные крадёт Infiniti Stealer
Это классический инфостилер, то есть софт для кражи и отправки данных на сервер злоумышленников. По данным Malwarebytes, Infiniti Stealer собирает широкий набор чувствительной информации.
- Данные Chromium-браузеров: учётные данные и связанная информация
- Данные Firefox: учётные данные и связанная информация
- Записи macOS Keychain: элементы хранилища ключей и паролей
- Криптокошельки: включая данные из расширений/плагинов кошельков
- Секреты разработчика: plaintext-значения из файлов вроде .env
- Скриншоты: снимки экрана, сделанные во время выполнения
Отдельно неприятно, что в зоне риска оказываются не только «пароли от соцсетей». Файлы .env часто хранят токены, ключи API и доступы к инфраструктуре, а Keychain — это вообще центральный узел для многих секретов на Mac.
Подробности технического разбора Malwarebytes описала в своём отчёте: Infiniti Stealer: macOS infostealer using ClickFix and Python Nuitka.
Подписывайтесь на наши каналы в Telegram и Дзен, чтобы узнавать больше. И делитесь своим мнением и опытом в нашем чате.
Infiniti Stealer атакует macOS через ClickFix и команды в Terminal ⚡️