Jarenlang hebben veel Mac-gebruikers geleefd met het idee dat macOS was vrijwel immuun voor malware.Dat was niet helemaal waar, maar het kleinere marktaandeel in vergelijking met Windows betekende dat veel cybercriminelen de andere kant op keken. Die periode van relatieve rust loopt ten einde, en de opkomst van Infiniti Stealer maakt dat overduidelijk.
Deze nieuwe kwaadaardige code is ontworpen om het stelen van gevoelige informatie op Mac-computers Infiniti Stealer maakt gebruik van social engineering-technieken die weinig lijken op de oude virussen van weleer. Het programma kan wachtwoorden, persoonlijke gegevens en zelfs cryptowallets stelen zonder dat de gebruiker iets merkt. Door middel van nepverificatiepagina's, geautomatiseerde scripts en omzeilingsmechanismen zal de gebruiker zich van niets ongewoons bewust zijn.
Het valse gevoel van veiligheid op macOS is voorbij.
De Mac-gemeenschap heeft het lange tijd als vanzelfsprekend beschouwd dat Virusproblemen waren een Windows-probleem.Een deel van dat vertrouwen kwam voort uit het eigen beveiligingsontwerp van macOS, maar ook uit een meer praktische reden: er waren minder gebruikers en dus minder interesse van aanvallers.
Die realiteit is volledig veranderd. Apple wint terrein op de Europese markt, met name onder... professionals, freelancers en bedrijvenEn dat heeft Mac-computers tot een zeer aantrekkelijk doelwit gemaakt. Sectoren zoals design, softwareontwikkeling, financiën en digitale marketing werken dagelijks met waardevolle informatie.
Ondertussen hebben beveiligingsonderzoekers een aanzienlijke toename geconstateerd in Infostealer-achtige malware op macOSDit type dreiging is gericht op het stelen van inloggegevens, sessiecookies, kaartgegevens en cryptovaluta om deze snel in contanten om te zetten.
Bovendien beperkt moderne Mac-malware zich niet langer tot simpele trucjes. Technieken zoals Bestandsloze uitvoering met AppleScript en het misbruiken van ingebouwde systeemtools om onopgemerkt te blijven. Dit alles zorgt ervoor dat infecties weken of maanden actief kunnen blijven zonder argwaan te wekken.
Infiniti Stealer: de nieuwe infostealer gespecialiseerd in Macs
In deze context verschijnt Infiniti Stealer ten tonele, een malware die specifiek is ontworpen voor macOS die zich richt op datadiefstal. De dreiging is tot in detail geanalyseerd door onderzoekers van Malwarebytes Labs, die een zeer specifiek aanvalspatroon hebben geïdentificeerd.
Infiniti Stealer combineert twee belangrijke elementen: enerzijds, de distributietechniek die bekend staat als ClickFix, die al eerder in Windows werd gebruikt en nu is aangepast aan het Apple-ecosysteem; aan de andere kant een kwaadaardige payload geschreven in Python en gecompileerd met Nuitka, die uiteindelijk een native binaire code voor Mac genereert die moeilijk te detecteren is.
Een van de meest zorgwekkende aspecten is dat Het is niet afhankelijk van complexe technische kwetsbaarheden.maar eerder om de gebruiker te misleiden. De campagne maakt gebruik van pagina's die eruitzien als legitieme verificatiesystemen, vergelijkbaar met de bekende CAPTCHA's of Cloudflare-controles, wat helpt om de argwaan van gebruikers te verminderen.
Malwarebytes benadrukt dat Infiniti Stealer laat zien hoe Strategieën die op Windows succesvol bleken, worden nu ook op macOS toegepast.Dit is een duidelijk teken dat criminelen het Apple-systeem niet langer als een doelwit met een laag risico beschouwen, vooral in Europa, waar het gebruik van Macs in professionele omgevingen blijft toenemen.
De ClickFix-val en nep-CAPTCHA's
De kern van de aanval schuilt in de techniek. ClickFix toegepast op vermeende menselijke verificatiesHet proces begint wanneer de gebruiker terechtkomt op een kwaadaardige pagina die zich voordoet als een beveiligingssysteem: op het eerste gezicht lijkt het een simpele test om te bevestigen dat het geen bot is.
In plaats van de gebruiker te vragen vakjes aan te vinken of afbeeldingen te identificeren, toont de pagina een bericht met het verzoek... Een commando kopiëren en plakken in de macOS Terminal.Onder het voorwendsel dat het een extra verificatie betreft die nodig is om verder te gaan. Alles wordt op een relatief overtuigende manier gepresenteerd, waardoor het voor meerdere personen gemakkelijk is om in de val te lopen.
Dat zogenaamde verificatiecommando is in werkelijkheid... kwaadaardige code die de payload downloadt en uitvoert. Afkomstig van Infiniti Stealer. Zodra het in de terminal is geplakt en uitgevoerd, begint het systeem de benodigde bestanden te downloaden, meestal met behulp van standaardtools zoals curl of bash-scripts.
Deskundigen herinneren ons eraan dat Er is geen legitieme CAPTCHA en Cloudflare vereist ook niet dat je commando's kopieert en plakt. Van een website naar de Terminal. Dat simpele detail zou genoeg moeten zijn om alle alarmbellen te laten rinkelen, maar door de combinatie van haast en vertrouwen in de beveiliging van macOS stellen veel gebruikers er geen vragen over.
Van opdracht tot datadiefstal: zo werkt Infiniti Stealer.
Zodra de gebruiker het commando uitvoert dat door de nepverificatie wordt verstrekt, wordt een relatief gestructureerde reeks acties in gang gezet. Eerst wordt een payload gedownload die Genereert een native binaire code van ongeveer 8,6 MB.Ontworpen om zelfstandig op macOS te werken, zonder afhankelijk te zijn van externe componenten.
Dat binaire bestand is verantwoordelijk voor het uitvoeren van taken op de achtergrond. Vermijd het weergeven van zichtbare vensters of meldingen. om geen argwaan te wekken. Vanaf dat moment lijkt de computer normaal te functioneren, maar de malware begint informatie te verzamelen en te traceren.
Tot de belangrijkste doelstellingen behoren de Chromium-gebaseerde en Firefox-browsersdie een grote hoeveelheid inloggegevens, cookies en automatisch invulgegevens opslaan. Het richt zich ook op de macOS-sleutelbos, waar wachtwoorden, certificaten en andere gevoelige geheimen worden bewaard.
Bovendien kan de Infiniti Stealer vastleggen actieve sessietokens en geldige cookiesHierdoor kunnen aanvallers toegang krijgen tot online accounts zonder een gebruikersnaam en wachtwoord in te voeren, en zelfs tweestapsverificatiesystemen omzeilen wanneer de sessie al geopend is.
Bij gevorderde gebruikers en bedrijven richt malware zich met name op bestanden zoals .env en andere configuratiebestanden Deze bestanden bevatten vaak API-sleutels, databasegegevens en toegangsinformatie voor cloudservices. Dit maakt ontwikkelaars en beheerders een bijzonder aantrekkelijk doelwit.
Technische mogelijkheden en informatie-exfiltratie
Vanuit technisch oogpunt onderscheidt de Infiniti Stealer zich door de combinatie van verschillende eigenschappen. een native aanpak in macOS met ontwijktechniekenHet genereren van een aangepast binair bestand bemoeilijkt het werk van sommige beveiligingsoplossingen die zich richten op scripts of meer bekende gedragingen.
De malware is in staat om gegevens te extraheren uit een breed scala aan browsers, waarmee een zeer aanzienlijk deel van het daadwerkelijke gebruik in Europa wordt gedekt. ​​Dit wordt nog versterkt door toegang tot... macOS-sleutelbos heeft al certificaten opgeslageneen cruciale informatiebron voor het inschakelen van professionele diensten.
Nadat de gestolen gegevens zijn verzameld, worden ze verzonden naar servers die door de aanvallers via versleutelde verbindingen worden beheerdDoor gebruik te maken van beveiligde kanalen is het voor traditionele tools lastig om data-exfiltratie gemakkelijk te detecteren, omdat het verkeer vermengd is met andere legitieme communicatie.
In sommige gevallen stelt de combinatie van inloggegevens, tokens en API-sleutels aanvallers in staat om vanuit één enkele gecompromitteerde Mac toegang te krijgen tot een ander systeem. naar complete bedrijfsinfrastructurencode repositories, beheerderspanelen en zelfs financiële diensten die aan het getroffen team zijn gekoppeld.
Een verandering van focus: Mac is niet langer een ondergeschikt doelwit.
Gevallen zoals de Infiniti-diefstal bevestigen iets waar beveiligingsanalisten al langer voor waarschuwen: macOS is niet langer een secundair doelwit.Het groeiende aantal gebruikers en de aanwezigheid van Macs in belangrijke afdelingen zorgen ervoor dat de potentiële winst voor criminelen zeer hoog is.
In Europa en Spanje is het gebruik van Macs wijdverspreid geraakt. adviesbureaus, creatieve studio's, fintechbedrijven, technologie-startups en professionele kantorenIn al deze omgevingen worden vertrouwelijke documenten, toegang tot bedrijfsplatformen en bankrekeningen beheerd.
De opkomst van cryptovaluta en digitale financiële diensten heeft een extra stimulans gecreëerd. Veel gebruikers sparen wallets, seed phrases en toegang tot exchanges op hun apparatuur, wat perfect aansluit bij het soort informatie waar een infostealer naar op zoek is.
Tegelijkertijd is het macOS-ontwikkelingsecosysteem enorm. Programmeertools, pakketbeheerders en cloudimplementatieplatformen worden dagelijks gebruikt vanaf Mac-computers, dus Het hacken van één enkele laptop kan de deur openzetten naar een complete infrastructuur..
Wat kunnen Mac-gebruikers doen om zichzelf te beschermen?
Hoewel Infiniti-diefstal een serieuze bedreiging vormt, zijn er verschillende maatregelen die het risico aanzienlijk kunnen verkleinen. De eerste, en misschien wel belangrijkste, is Voer nooit commando's uit in de terminal als je niet volledig begrijpt wat ze doen.vooral als ze van een website komen.
Elke website die je vraagt ​​om tekst te kopiëren en te plakken in de terminal als onderdeel van een zogenaamde veiligheidscontrole, moet als verdacht worden beschouwd. zeer verdachtLegitieme CAPTCHA's vereisen dit soort handmatige handelingen niet, noch in Spanje, noch in enig ander land.
Het is ook raadzaam om extra voorzorgsmaatregelen te nemen wanneer software downloaden of gebruikmaken van onbekende dienstenWaar mogelijk is het raadzaam om officiële bronnen, geverifieerde appwinkels en vertrouwde aanbieders te gebruiken.
Technisch gezien kan het nuttig zijn om de ingebouwde beveiligingen van macOS aan te vullen met gespecialiseerde beveiligingsoplossingen die afwijkend gedrag monitorenwaaronder terminalactiviteit en het verschijnen van nieuwe binaire bestanden op gevoelige routes.
Stappen die u moet ondernemen als u vermoedt dat Infiniti Stealer is geïnfecteerd.
Als er gegronde twijfel bestaat of u een van deze commando's hebt uitgevoerd of een verdachte verificatiepagina hebt bezocht, is het belangrijk om kalm maar snel te handelen. Onderzoekers raden aan Stop met het gebruik van de apparatuur voor gevoelige activiteiten.zoals online bankieren, zakelijke e-mail of het beheer van cryptovaluta.
Vervolgens is het raadzaam om de wachtwoorden te wijzigen van nog een schoon apparaatGeef prioriteit aan je belangrijkste e-mail, bankapps, werkgerelateerde diensten en Apple ID. Het is ook verstandig om je openstaande sessies te bekijken en alle onnodige sessies te sluiten.
In zakelijke omgevingen kan het nodig zijn Informeer de IT-afdeling of de beveiligingsfunctionaris. zodat ze kunnen controleren op ongebruikelijke toegang, wijzigingen in repositories of verdachte activiteiten in bedrijfsaccounts.
Volgens deskundigen is het cruciaal om ervan uit te gaan dat na een infectie van dit type, De op het apparaat opgeslagen inloggegevens kunnen als gecompromitteerd worden beschouwd.Vandaar het belang van het intrekken ervan, het rouleren ervan en het controleren van de toegangslogboeken van alle belangrijke services.
Alles rondom Infiniti Stealer bevestigt één duidelijk idee: macOS blijft een robuust systeem, maar het bestaat niet langer in een bubbel die geïsoleerd is van malware. De opkomst van infostealers die zich richten op Mac-gebruikers in Europa laat zien dat aanvallers deze machines als een zeer waardevolle bron van gegevens beschouwen. Inzicht in hoe technieken zoals ClickFix werken, voorzichtig zijn met verificatie via Terminal en het versterken van dagelijkse beveiligingsgewoonten zijn essentieel geworden om wachtwoorden, online accounts en digitale bezittingen veilig te houden op Apple-computers.
