Wprowadzenie do problemu / definicja
Infinity Stealer to nowo opisane złośliwe oprogramowanie typu infostealer wymierzone w użytkowników systemu macOS. Jego głównym celem jest kradzież danych uwierzytelniających, wpisów z pęku kluczy, danych z portfeli kryptowalutowych oraz innych poufnych informacji przechowywanych lokalnie na urządzeniu.
Kampania wyróżnia się połączeniem techniki ClickFix, czyli socjotechnicznego nakłaniania ofiary do samodzielnego uruchomienia polecenia w Terminalu, z ładunkiem napisanym w Pythonie i skompilowanym do natywnego binarium przy użyciu Nuitka. To połączenie zwiększa skuteczność ataku i jednocześnie utrudnia analizę próbki.
W skrócie
Atak rozpoczyna się od fałszywej strony weryfikacyjnej stylizowanej na mechanizm ochrony przed botami. Użytkownik jest instruowany, aby wkleić do Terminala spreparowaną komendę, co uruchamia wieloetapowy łańcuch infekcji.
- wykorzystanie techniki ClickFix do uruchomienia infekcji przez samą ofiarę,
- pobranie kolejnych etapów malware z użyciem prostego droppera Bash,
- uruchomienie loadera Mach-O dla Apple Silicon,
- kompilacja końcowego payloadu przy użyciu Nuitka,
- kradzież haseł, wpisów z Keychain, danych z portfeli i plików deweloperskich,
- eksfiltracja danych do serwera C2 i powiadomienie operatora przez Telegram.
Kontekst / historia
Technika ClickFix była wcześniej kojarzona głównie z kampaniami wymierzonymi w użytkowników Windows, gdzie przestępcy wykorzystywali fałszywe komunikaty bezpieczeństwa do skłonienia ofiary do manualnego uruchomienia poleceń w PowerShell lub CMD. Obecna kampania pokazuje, iż ten model został skutecznie zaadaptowany również do środowiska macOS.
Z perspektywy napastników to bardzo efektywne podejście. Nie wymaga ono wykorzystania podatności w systemie ani klasycznego mechanizmu drive-by download. Kluczowym elementem jest zaufanie użytkownika do znanych komunikatów bezpieczeństwa oraz skłonienie go do samodzielnego wykonania komendy.
To również istotny sygnał dla zespołów bezpieczeństwa, iż zagrożenia dla ekosystemu Apple stają się coraz bardziej dojrzałe. Połączenie socjotechniki z natywnym binarium opartym na Pythonie i Nuitka wskazuje na rosnącą złożoność kampanii skierowanych przeciwko użytkownikom macOS.
Analiza techniczna
Łańcuch infekcji zaczyna się od strony podszywającej się pod kontrolę bezpieczeństwa. Ofiara otrzymuje instrukcję uruchomienia w Terminalu polecenia zawierającego zakodowany w base64 adres pobrania kolejnego etapu. Na tym etapie atak bazuje wyłącznie na socjotechnice i presji szybkiego działania.
Pierwszy etap to skrypt Bash pełniący funkcję droppera. Jego zadaniem jest pobranie kolejnego pliku, zapisanie go w katalogu tymczasowym, usunięcie atrybutu kwarantanny, uruchomienie ładunku w tle i przekazanie parametrów potrzebnych do dalszej komunikacji z infrastrukturą atakujących.
- dekodowanie i pobranie następnego etapu,
- zapis loadera do katalogu tymczasowego,
- usunięcie atrybutu com.apple.quarantine,
- uruchomienie pliku przez nohup,
- przekazanie danych konfiguracyjnych przez zmienne środowiskowe,
- samousunięcie i zamknięcie okna Terminala.
Drugi etap stanowi loader Mach-O przygotowany dla architektury Apple Silicon. Binarium zostało zbudowane w trybie onefile dzięki Nuitka i zawiera skompresowane archiwum z końcowym payloadem. W odróżnieniu od narzędzi pakujących bytecode Pythona, Nuitka kompiluje kod do C i tworzy natywny plik wykonywalny, co znacząco utrudnia analizę statyczną oraz detekcję.
Trzeci etap to adekwatny stealer oparty na Pythonie 3.11. Po uruchomieniu próbka wykonuje kontrole antyanalityczne, sprawdzając obecność środowisk wirtualnych, sandboxów i infrastruktury badawczej. Dodatkowo stosuje losowe opóźnienie, aby utrudnić automatyczną analizę.
Po zakończeniu tych kontroli malware przystępuje do kradzieży danych. Infinity Stealer zbiera informacje z wielu źródeł lokalnych i aplikacyjnych:
- dane logowania z przeglądarek opartych na Chromium oraz z Firefoksa,
- wpisy z macOS Keychain,
- dane z portfeli kryptowalutowych,
- sekrety zapisane w plikach takich jak .env,
- zrzuty ekranu wykonane podczas działania malware.
Eksfiltracja odbywa się przez żądania HTTP POST do infrastruktury C2. Po zakończeniu operacji operator może otrzymać dodatkowe powiadomienie przez Telegram, co upraszcza obsługę kampanii i potwierdza skuteczność infekcji.
Konsekwencje / ryzyko
Ryzyko związane z Infinity Stealer jest wysokie, ponieważ malware nie ogranicza się do jednej kategorii danych. Połączenie kradzieży haseł, wpisów z Keychain, tokenów oraz sekretów deweloperskich może prowadzić do pełnego przejęcia kont prywatnych i służbowych.
Dla użytkowników indywidualnych zagrożenie oznacza możliwość przejęcia poczty, kont finansowych, usług chmurowych i portfeli kryptowalutowych. Dla organizacji konsekwencje są jeszcze poważniejsze, szczególnie jeżeli zainfekowane zostanie urządzenie dewelopera lub pracownika z podwyższonymi uprawnieniami.
Kradzież plików .env oraz innych lokalnie zapisanych sekretów może otworzyć napastnikom drogę do baz danych, środowisk testowych, systemów produkcyjnych i usług w chmurze. Taki incydent może stać się początkiem dalszego ruchu bocznego, eskalacji uprawnień i wycieku danych biznesowych.
Szczególnie istotne jest to, iż kampania nie wykorzystuje exploita. Atakujący opierają się na świadomym wykonaniu polecenia przez użytkownika, co sprawia, iż klasyczne mechanizmy ochronne skoncentrowane wyłącznie na exploitach lub załącznikach mogą nie wystarczyć.
Rekomendacje
Najważniejszą zasadą obrony jest niewykonywanie w Terminalu poleceń kopiowanych bezpośrednio ze stron internetowych, jeżeli użytkownik nie rozumie ich działania i nie potrafi zweryfikować ich źródła. Legalne mechanizmy CAPTCHA i standardowe systemy weryfikacji nie wymagają uruchamiania komend powłoki.
Organizacje powinny potraktować tego typu kampanie jako połączenie zagrożenia socjotechnicznego i endpointowego. Ochrona musi obejmować zarówno edukację użytkowników, jak i telemetrykę procesów uruchamianych na stacjach macOS.
- przeprowadzić szkolenia dotyczące techniki ClickFix i fałszywych stron weryfikacyjnych,
- monitorować użycie poleceń Bash, curl, nohup oraz modyfikacji atrybutu com.apple.quarantine,
- objąć nadzorem katalogi tymczasowe oraz elementy autostartu,
- analizować wychodzące żądania HTTP POST do nieznanych domen,
- wdrożyć EDR lub XDR z telemetrią dla macOS,
- regularnie rotować sekrety i tokeny przechowywane lokalnie,
- egzekwować zasadę najmniejszych uprawnień.
W przypadku podejrzenia kompromitacji należy natychmiast odizolować urządzenie od sieci i nie używać go dalej do logowania do wrażliwych usług. Następnie trzeba zmienić hasła z czystego urządzenia, unieważnić aktywne sesje, zrotować tokeny API, klucze SSH i inne sekrety oraz przeprowadzić pełną analizę forensic.
Podsumowanie
Infinity Stealer pokazuje, iż krajobraz zagrożeń dla macOS dynamicznie dojrzewa. Połączenie socjotechniki ClickFix z natywnie kompilowanym payloadem Pythona przez Nuitka tworzy skuteczny, wieloetapowy i trudniejszy do analizy łańcuch infekcji.
Z perspektywy obrony najważniejsze są trzy elementy: edukacja użytkowników, szeroka widoczność telemetryczna na endpointach oraz szybka reakcja na incydenty związane z kradzieżą danych uwierzytelniających. Dla zespołów bezpieczeństwa to wyraźny sygnał, iż macOS nie może być traktowany jako platforma o niskim priorytecie.
Źródła
- https://www.bleepingcomputer.com/news/security/new-infinity-stealer-malware-grabs-macos-data-via-clickfix-lures/
- https://www.malwarebytes.com/blog/threat-intel/2026/03/infiniti-stealer-a-new-macos-infostealer-using-clickfix-and-python-nuitka
