Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Новиот малвер Infinity Stealer краде податоци од macOS преку ClickFix мамки

Објавено: 30.03.2026

Нов инфостилер малвер наречен Infinity Stealer таргетира macOS системи со Python payload спакуван како извршна датотека користејќи го open-source компајлерот Nuitka.

Нападот ја користи техниката ClickFix, прикажувајќи лажен CAPTCHA кој имитира проверка на човек од Cloudflare, со цел да ги измами корисниците да извршат злонамерен код.

Истражувачите од Malwarebytes велат дека ова е првата документирана кампања за macOS која комбинира ClickFix испорака со Python-базиран инфостилер компајлиран со Nuitka.

Бидејќи Nuitka создава „native“ бинарен фајл преку компајлирање на Python скриптата во C код, добиениот извршен фајл е поотпорен на статичка анализа.

Во споредба со PyInstaller, кој го пакува Python заедно со bytecode, овој пристап е потешко детектибилен бидејќи создава вистински нативен бинарен фајл без очигледен bytecode слој, што значително го отежнува reverse engineering-от.

„Крајниот payload е напишан во Python и компајлиран со Nuitka, создавајќи нативен macOS бинарен фајл. Тоа го прави потежок за анализа и детекција од типичните Python-базирани малвери,“ соопшти Malwarebytes.

Синџир на нападот

Нападот започнува со ClickFix мамка на доменот update-check[.]com, која се претставува како проверка дали корисникот е човек (слична на Cloudflare). Од корисникот се бара да го „заврши предизвикот“ така што ќе залепи base64-обфускирана curl команда во macOS Terminal, со што се заобиколуваат безбедносните механизми на оперативниот систем.

Командата декодира Bash скрипта која го запишува вториот стадиум (Nuitka loader) во /tmp, потоа го отстранува quarantine флагот и го извршува преку nohup. Потоа, преку environment variables се проследуваат адресата на command-and-control (C2) серверот и токен, по што скриптата се брише сама себе и го затвора Terminal прозорецот.

Nuitka loader-от е Mach-O бинарен фајл со големина од 8.6 MB, кој содржи 35 MB zstd-компресирана архива. Во неа се наоѓа третиот стадиум (UpdateHelper.bin), односно самиот Infinity Stealer малвер.

Преглед на малверот (disassembly анализа)

Пред да започне со собирање чувствителни податоци, малверот врши анти-анализа проверки за да утврди дали се извршува во виртуелизирана или sandbox околина.

Според анализата на Malwarebytes на Python 3.11 payload-от, овој инфостилер има можност да прави screenshots и да ги собира следните податоци:

  • Креденцијали од Chromium-базирани прелистувачи и Firefox
  • Податоци од macOS Keychain
  • Криптовалутни паричници
  • Plaintext тајни од developer фајлови, како што се .env

Сите украдени податоци се испраќаат (exfiltrate) преку HTTP POST барања до C2 серверот, а по завршување на операцијата се испраќа нотификација преку Telegram до напаѓачите.

Malwarebytes нагласува дека појавата на малвер како Infinity Stealer е доказ дека заканите за macOS корисниците стануваат сè понапредни и понасочени.

Корисниците никогаш не треба да внесуваат (paste) во Terminal команди пронајдени на интернет кои не ги разбираат целосно.

Извори:

  • Bleeping Computer – New Infinity Stealer malware grabs macOS data via ClickFix lures Bleeping Computer