セキュリティ研究者が、Infiniti Stealerという新しいmacOS情報盗聴マルウェアを発見しました。元々NukeChainという名前で追跡されていたこのマルウェアは、Macユーザーから機密データを盗むことを目的としています。
複雑なソフトウェアエクスプロイトを使う代わりに、ClickFixとして知られるソーシャルエンジニアリング技術に頼って、被害者自身に自分のコンピュータに感染させるようにだまします。
攻撃は、悪質なウェブサイトでホストされている偽のCloudflare人間認証ページから始まります。
この説得力のある偽のCAPTCHAは、ユーザーにMacターミナルを開かせ、人間であることを証明するために特定のコマンドをペーストするよう指示します。
ユーザーが手動でコマンドを実行するため、アンチウイルスソフトウェアやエクスプロイトブロッカーなどの従来のセキュリティ防御は完全にバイパスされます。
被害者がコマンドをターミナルにペーストすると、3段階の感染プロセスが直ちに開始されます。
まず、Bashドロッパースクリプトが攻撃者のサーバーから隠されたペイロードをダウンロードしてデコードします。新しいファイルを一時フォルダに保存し、Appleの保護用隔離フラグを削除し、ターミナルウィンドウをすぐに閉じる前にバックグラウンドで次のステージを起動します。
第2段階は、Apple Silicon Macのために特別に構築されたNuitkaローダーです。標準的なPythonマルウェアとは異なり、NuitkaはPythonコードをネイティブアプリケーションにコンパイルします。これにより、セキュリティツールが分析および検出するのがはるかに難しくなります。
このローダーは、大規模な組み込みデータファイルを展開し、最終的な悪意のあるステージをトリガーします。
最終的なペイロードはInfiniti Stealer自体です。ブラウザーのパスワード、macOS Keychainエントリ、暗号通貨ウォレット、プレーンテキストの開発者シークレットなど、豊富な個人データを対象としています。感染したマシンのスクリーンショットもキャプチャします。
Infiniti Stealerの台頭は、macOSがマルウェア操作者の主要なターゲットになりつつあることを証明しています。
最近、CAPTCHAをパスするためにターミナルにコマンドをペーストした場合、デバイスが侵害されていると仮定する必要があります。正当なウェブサイトがあなたの身元を確認するためにターミナルを使用するよう求めることはありません。
感染の疑いがある場合は、デジタルフットプリントを保護するためにすぐに次の手順を実行してください:
セキュリティ専門家と脅威ハンターにとって、このマルウェアバイトの追跡には、特定の技術的フットプリントの監視が必要です。以下は、Infiniti Stealerキャンペーンに関連する主要な侵害指標(IOC)です。
翻訳元: https://cyberpress.org/fake-captcha-drops-infiniti/