Malwarebytes研究人员近期发现一种名为Infinity Stealer的macOS信息窃取恶意软件。该木马通过Nuitka将Python代码编译为可执行文件,并借助伪造的Cloudflare验证页面诱导用户在终端中执行恶意命令进行传播。这也是首次在macOS平台上观察到类似的ClickFix攻击手法。
研究显示,这类伪造页面会引导用户打开终端(Terminal),粘贴并运行指定命令,一旦执行即触发感染流程。此前该技术主要流行于Windows环境,如今攻击者已将其迁移至macOS,并针对系统操作习惯设计了具体步骤(如通过Command+空格打开终端后粘贴命令)。
在攻击流程中,用户首先被诱导执行一段终端命令,从而下载并运行第一阶段的Bash脚本。该脚本结构与早期macOS窃密工具(如MacSync/SHub)类似,说明攻击者可能复用了已有构建框架。随后,该脚本会解码数据、写入第二阶段程序、关闭部分系统防护、执行恶意文件并与控制服务器通信,最终删除自身以降低痕迹。
第二阶段为Nuitka编译的本地加载器,其作用是释放并运行最终的Python窃密程序。该最终载荷(UpdateHelper[.]bin)基于Python 3.11开发,具备窃取浏览器账号信息、Keychain数据、加密货币钱包、.env文件以及截屏的能力,并通过HTTP将数据传出。同时,该程序会检测分析环境并加入随机延迟,以规避安全检测。窃取完成后,攻击者还会通过Telegram接收通知,并将获取的凭证用于进一步破解。
这一事件表明,macOS已逐渐成为攻击目标,且攻击者正在引入并改造Windows平台常见的攻击技术。对此,安全专家建议:
报告中还提供了相关攻击指标(IOCs),供进一步检测与防护使用。
网站资讯
渠道合作
解决方案
更多服务
