Sicherheitsforscher haben eine neue Kampagne für macOS-Nutzer dokumentiert, die überzeugende Social Engineering mit einer Verpackungstechnik kombiniert, die forensische Analyse erschwert. Der Schauspieler hinter dieser Operation verteilt eine Dieb-Information namens Infinity Stealer und nutzt eine visuelle Falle, die menschliche Verifikations-Bildschirme imitiert, um das Opfer zu schieben, um Code in Terminal auszuführen.
Die Eingangstür des Angriffs ist eine Website, die vorgibt, der menschliche Validierungsschritt zu sein (manchmal, dass viele Dienste, wie Cloudflare, legitim verwenden). Anstatt den Navigator zu zwingen, eine grafische Herausforderung zu lösen, fordert das Web, dass Sie kopieren und einfügen in Terminal ein Curl-Befehl codiert in Basis64. Diese einzige Geste, anscheinend harmlos für diejenigen, die falsche Überprüfung vertrauen, defiguriert und startet eine Bash-Sequenz, die Downloads und schreibt eine zweite Komponente in / tmp, storniert die Quarantäne-Flag der Datei und führt sie im Hintergrund. Das Ergebnis ist, dass das System den Benutzerschutz überspringt und eine Kette von schädlichen Stadien ohne zusätzliche Interaktion startet.
Was unterscheidet diese Kampagne Es ist nicht nur der visuelle Trick, der in der Forschung als ClickFix bekannt ist, sondern wie die Haupt-Payload gebaut wird: es ist Python-Code mit dem Nuitka Open Source Projekt kompiliert. Im Gegensatz zu Diensten wie PyInstaller, die den Dolmetscher und Bytecode Python in einen erkennbaren Container packen, wandelt Nuitka den Python-Code in C um und erzeugt eine native binäre. Das produziert eine reale Mach-O ausführbar, die viel widerstandsfähiger gegenüber klassischen statischen Analysetechniken ist und Reverse Engineering erschwert.
Die von den Analysten veröffentlichten technischen Schlussfolgerungen, die die Kampagne untersuchten, liefern besorgniserregende Details. Das mit Nuitka kompilierte Initialladegerät ist ein Multi-Megabyte Binär, das eine große komprimierte Datei mit zstd enthält; innen ist die letzte Stufe des Infostealers. Bevor Sie Informationen sammeln, führt Malware eine Reihe von Kontrollen durch, um festzustellen, ob es in einer virtualisierten Umgebung oder in Sandbox ausgeführt wird, so dass Sie automatisierte Analyse- und Forschungsumgebungen vermeiden können.
Einmal eingesetzt, die Python-Komponente (in den analysierten Fällen über Python 3.11) enthält typische Fähigkeiten der Anmeldeinformationen Nagetiere: Erfassung von Hosen, Entfernung von Anmeldeinformationen von Browsern auf Chrom und Firefox, Exfiltration von Eingaben aus der macOS-Taste, Standort von Kryptomoneda Portets und Suche nach Geheimnissen in Entwicklungsdateien wie .env. Alles gesammelt wird an den Befehls- und Kontrollserver über HTTP-POST-Anfragen gesendet und zusätzlich erhalten die Operatoren eine Telegram-Benachrichtigung, wenn die Operation endet, unter Ausnutzung der Boot-API auf dieser Plattform.
Der technische Bericht, der die Kampagne selbst beschreibt, betont, dass es bis zu den Beobachtungen die erste dokumentierte Kampagne ist, die ClickFixs Lieferung mit einem in Python geschriebenen und mit Nuitka in macOS zusammengestellten Infostealer verbindet. Diese Kombination aus Social Engineering und nativer Verpackung ist ein Fortschritt in der Fähigkeit von Angreifern, traditionelle Erkennungen zu vermeiden und die Arbeit von Reaktionsteams zu verlangsamen.
Warum erschwert Nuitka die Erkennung? Weil es weniger typische Signale von Python Malware verlässt: Es gibt keine offensichtliche Schicht von Bytecode, dass Werkzeuge und Analysten versuchen, Logik zu entwirren; stattdessen erscheint eine native binäre, dass auf der Ebene der Signatur und Struktur, ist viel mehr wie eine legitime Anwendung. Wird dies der mehrstufigen Obfuskation hinzugefügt (komprimierte Dateien innerhalb der ausführbaren, Verwendung von Umgebungsvariablen, um Tokens zu passieren, Entfernen von Spuren, wenn die Ausführung endet), wird die Aufgabe der Intelligenz und manuelle Analyse viel mühsamer.
Wenn Sie die ursprünglich von den Forschern gesammelten technischen Analysen und Indikatoren lesen möchten, ist die Forschung auf dem Malharebytes Blog verfügbar: Malharebytes - Infiniti Stealer. Um die technischen Unterschiede zwischen Python-Verpackungswerkzeugen besser zu verstehen, können Sie die Dokumentation der Nuitka und PyInstallation. Und wenn Sie daran interessiert sind, zu wissen, wie legitime menschliche Kontrollen im Internet funktionieren, ist Cloudflares Dokumentation zu Verifikationssystemen (Turnstile) ein guter Bezugspunkt: Cloudflare Turnstile. Darüber hinaus kann die Art und Weise, wie Operatoren Ergebnisse durch Bots berichten, auf der Telegram Public API basieren: Telegram Bot API.
Für Benutzer und Administratoren gibt es klare Lektionen. Zuerst sollten Sie nie in Terminal-Befehle einfügen, die von Web-Seiten oder Nachrichten gesammelt werden, ohne genau zu verstehen, was sie tun; diese Praxis ist die wiederholte Eingangstür in Kampagnen wie diese. Zweitens wird empfohlen, die Umsetzungspolitik in macOS-Maschinen zu stärken: Gatekeeper-Kontrollen anwenden, das System und die Anwendungen auf dem neuesten Stand halten und Endpunkte-Schutzlösungen berücksichtigen, die ungewöhnliche Verhaltensweisen inspizieren, nicht nur statische Signaturen. Apple unterstützt die Dokumentation, die Ihnen hilft, zu verstehen, wie Gatekeeper und Datei Quarantäne helfen, Geräte zu schützen: Apple Support - Probleme, Apps zu installieren oder zu öffnen.
Wenn Sie vermuten, dass Sie Opfer dieser Art von Infektion gewesen sein könnten, wird es empfohlen, die Maschine vom Netzwerk zu trennen, vermeiden Sie die Nutzung von Anmeldeinformationen, die ausgesetzt sein könnten, ändern Sie Passwörter von einem anderen sicheren Gerät und Kontakt mit Antwortdiensten oder verwenden Sie Vertrauenstools, um nach bekannten Artefakten zu suchen. In Unternehmensumgebungen kann die Sperrung der Ausführung von unbezeichneten Binärstellen mit MDM und die Überprüfung von Terminal-Logs und ausgehenden Verbindungen dazu beitragen, vorzeitige Verpflichtungen zu erkennen.
Der Fall von Infinity Stealer ist eine Erinnerung, dass Bedrohungen in macOS weiter zu entwickeln: Angreifer kombinieren psychologische Taktiken mit Obfuskation und Verpackungstechniken, um Auswirkungen zu maximieren und die Möglichkeit der Analyse zu minimieren. Die Aufrechterhaltung eines vernünftigen Verdachts gegen aufstrebende Fenster, Überprüfung Herausforderungen oder Anweisungen, um Befehle zu halten und die Sicherheitspolitik zu stärken, sind einfache Maßnahmen, die langfristig den Unterschied zwischen einer Angst und einer Lücke machen können.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...