Οι χρήστες macOS βρίσκονται στο στόχαστρο μιας νέας εκστρατείας ClickFix, η οποία χρησιμοποιεί μια σελίδα επαλήθευσης με θέμα το Cloudflare για την παράδοση ενός κλέφτη πληροφοριών βασισμένου στην Python, σύμφωνα με αναφορές της Malwarebytes.
Η επίθεση ξεκινά με μια ψεύτικη σελίδα CAPTCHA που παρουσιάζει μια φαινομενικά νόμιμη σελίδα ανθρώπινης επαλήθευσης, ζητώντας από τους επισκέπτες να επικολήσουν και να εκτελέσουν μια εντολή στο Terminal.
Η ανατομία της απάτης ClickFix
Η τεχνική ClickFix βασίζεται στην κοινωνική μηχανική για να εξαπατήσει τους χρήστες ώστε να εκτελέσουν κακόβουλες εντολές στις συσκευές τους. Αν και χρησιμοποιείται ευρέως από τον Αύγουστο του 2024 κυρίως κατά χρηστών Windows, τους τελευταίους μήνες οι επιθέσεις που έχουν προσαρμοστεί για macOS έχουν γίνει ιδιαίτερα πειστικές.
Η ψεύτικη σελίδα παρέχει ακριβείς οδηγίες για το άνοιγμα του Terminal και την εκτέλεση μιας εντολής που υποτίθεται ότι ολοκληρώνει την επαλήθευση, αλλά στην πραγματικότητα ενεργοποιεί το κακόβουλο λογισμικό.
Η διαδικασία της μόλυνσης
Μόλις το θύμα εκτελέσει την εντολή, ανακτάται ένα σενάριο Bash από έναν απομακρυσμένο διακομιστή. Το σενάριο αυτό αποκωδικοποιεί ένα ενσωματωμένο ωφέλιμο φορτίο, γράφει ένα δυαδικό αρχείο δεύτερου σταδίου σε προσωρινό φάκελο, αφαιρεί τη σημαία καραντίνας και το εκτελεί
Παράλληλα, μεταβιβάζει διαπιστευτήρια ελέγχου και διακομιστή ως μεταβλητές περιβάλλοντος, διαγράφει το ίχνος του και κλείνει το παράθυρο του Terminal. Το αρχείο που αποτίθεται είναι ένας loader μεταγλωττισμένος με το Nuitka, το οποίο μετατρέπει τον κώδικα Python σε εγγενές δυαδικό αρχείο, δυσκολεύοντας τη στατική ανάλυση.
Οι δυνατότητες του Infiniti Stealer
Το τελικό φορτίο, το Infiniti Stealer, στοχεύει διαπιστευτήρια προγραμμάτων περιήγησης, πληροφορίες από το Keychain, κρυπτογραφικά πορτοφόλια, μυστικά σε αρχεία προγραμματιστών και στιγμιότυπα οθόνης.
Τα δεδομένα αποστέλλονται στον διακομιστή C&C μέσω αιτημάτων HTTP POST, ενώ το λογισμικό στέλνει ειδοποίηση σε κανάλι Telegram. Για την αποφυγή εντοπισμού, το Infiniti Stealer χρησιμοποιεί τυχαία καθυστέρηση εκτέλεσης και ελέγχει αν το σύστημα είναι περιβάλλον ανάλυσης.
Η Malwarebytes σημειώνει ότι η μεταφορά τεχνικών από τα Windows στο macOS, όπως το ClickFix και η μεταγλώττιση της Python σε εγγενείς εφαρμογές, καθιστά το κακόβουλο λογισμικό πιο ανθεκτικό στον εντοπισμό.