Nauja informaciją vagianti kenkėjiška programa, pavadinta „Infinity Stealer“, yra skirta „MacOS“ sistemoms, kurių „Python“ naudingoji apkrova supakuota kaip vykdomasis failas naudojant atvirojo kodo „Nuitka“ kompiliatorių.
Atakoje naudojama „ClickFix“ technika, pateikdama netikrą CAPTCHA, kuri imituoja „Cloudflare“ žmogaus patvirtinimo patikrą, kad apgautų vartotojus vykdyti kenkėjišką kodą.
„Malwarebytes“ tyrėjai teigia, kad tai yra pirmoji dokumentuota „MacOS“ kampanija, apjungianti „ClickFix“ pristatymą su „Python“ pagrindu sukurtu informacijos stealer, sudarytu naudojant „Nuitka“.
Kadangi Nuitka sukuria savąjį dvejetainį failą, sukompiliuodama Python scenarijų į C kodą, gautas vykdomasis failas yra atsparesnis statinei analizei.
Palyginti su „PyInstaller“, kuri susieja „Python“ su baitiniu kodu, ji yra labiau vengiama, nes sukuria tikrą savąjį dvejetainį failą be akivaizdaus baitinio kodo sluoksnio, todėl atvirkštinė inžinerija yra daug sunkesnė.
„Galutinė naudingoji apkrova parašyta Python ir kompiliuojama naudojant „Nuitka“, sukuriant savąjį „macOS“ dvejetainį failą. Dėl to ją sunkiau analizuoti ir aptikti nei įprastą „Python“ pagrindu veikiančią kenkėjišką programą“, – teigia „Malwarebystes“.
Atakos grandinė
Ataka prasideda ClickFix viliojimu domeno update-check(.)com, vaizduojančiu žmogaus patikrinimo žingsnį iš Cloudflare ir prašant vartotojo užbaigti iššūkį įklijuojant base64 užtemdytą curl komandą į MacOS terminalą, apeinant OS lygio apsaugą.
.jpg)
Šaltinis: Malwarebytes
Komanda iššifruoja Bash scenarijų, kuris įrašo 2 etapą (Nuitka įkroviklį). /tmptada pašalina karantino vėliavėlę ir vykdo ją per „nohup“. Galiausiai, jis perduoda komandą ir valdymą (C2) ir prieigos raktą per aplinkos kintamuosius, tada ištrina save ir uždaro terminalo langą.
Nuitka krautuvas yra 8,6 MB Mach-O dvejetainis failas, kuriame yra 35 MB zstd suglaudintas archyvas, kuriame yra 3 etapas (UpdateHelper.bin), kuris yra Infinity Stealer kenkėjiška programa.
.jpg)
Šaltinis: Malwarebytes
Prieš pradėdama rinkti neskelbtinus duomenis, kenkėjiška programa atlieka antianalizės patikras, kad nustatytų, ar ji veikia virtualizuotoje / smėlio dėžės aplinkoje.
„Malwarebytes“ atlikta Python 3.11 naudingosios apkrovos analizė atskleidė, kad informacijos vagystė gali daryti ekrano kopijas ir surinkti šiuos duomenis:
- Kredencialai iš „Chromium“ pagrįstų naršyklių ir „Firefox“.
- „macOS Keychain“ įrašai
- Kriptovaliutos piniginės
- Paprasto teksto paslaptys kūrėjo failuose, pvz., .env
Visi pavogti duomenys per HTTP POST užklausas išfiltruojami į C2, o baigus operaciją grėsmės veikėjams išsiunčiamas Telegramos pranešimas.
„Malwarebytes“ pabrėžia, kad kenkėjiškų programų, tokių kaip „Infinity Stealer“, atsiradimas yra įrodymas, kad „MacOS“ naudotojams kylančios grėsmės tik tobulėja ir tikslinamos.
Vartotojai niekada neturėtų įklijuoti į terminalo komandas, kurias randa internete ir kurių visiškai nesupranta.
Automatinis pentestavimas įrodo, kad kelias egzistuoja. BAS įrodo, ar jūsų valdikliai tai sustabdo. Dauguma komandų bėga viena be kitos.
Šiame dokumente pateikiami šeši patvirtinimo paviršiai, parodoma, kur baigiasi aprėptis, ir pateikiami gydytojai trys diagnostiniai klausimai, skirti įvertinti bet kokį įrankį.
