GoPlus: Вредоносное ПО Infiniti Stealer атакует криптовалютные кошельки, ориентируясь на пользователей Mac
Согласно GoPlus Security, вредоносное ПО под названием Infiniti Stealer нацелено на криптовалютные кошельки и конфиденциальные данные пользователей Mac с помощью метода социальной инженерии "ClickFix".
Злоумышленники создают очень реалистичную страницу Cloudflare CAPTCHA, чтобы заманить пользователей на открытие терминала и ручное вставление вредоносных команд. После выполнения команды скрипт удаляет атрибут карантина macOS и молча записывает последующие полезные нагрузки в каталог /tmp. Итоговая полезная нагрузка - это нативная бинарная программа macOS, скомпилированная с помощью Nuitka, что значительно повышает сложность обнаружения ею инструментов безопасности. После развертывания Infiniti Stealer может красть учетные данные браузеров Chromium / Firefox, macOS Keychain, кошельки криптовалют и файлы ключей разработчиков (например, файлы .env), а также имеет функции обнаружения песочницы и отложенного выполнения для уклонения от отслеживания.
