Um novo malware de roubo de informações chamado Infinity Stealer está direcionado a sistemas macOS, entregando um payload em Python empacotado como executável por meio do compilador open-source Nuitka.
O ataque utiliza a técnica ClickFix, que apresenta um falso CAPTCHA imitando a verificação humana da Cloudflare para enganar usuários e induzi-los a executar código malicioso.
Pesquisadores da Malwarebytes afirmam que esta é a primeira campanha documentada para macOS que combina entrega via ClickFix com um infostealer em Python compilado pelo Nuitka.
Como o Nuitka gera um binário nativo ao compilar o script Python em código C, o executável resultante é mais resistente à análise estática.
Em comparação ao PyInstaller, que empacota Python com bytecode, o Nuitka é mais evasivo porque produz um binário nativo verdadeiro, sem a camada evidente de bytecode, dificultando muito a engenharia reversa.
“A carga final é escrita em Python e compilada com Nuitka, produzindo um binário nativo para macOS, o que torna sua análise e detecção mais difíceis em relação a malwares típicos baseados em Python”, explica a Malwarebytes.
O ataque começa com uma isca ClickFix no domínio update-check[.]com, que simula uma etapa de verificação humana da Cloudflare.
O usuário é instruído a completar o desafio colando um comando curl codificado em base64 no Terminal do macOS, o que contorna as defesas do sistema.
Esse comando decodifica um script Bash que grava a segunda fase (loader Nuitka) em /tmp, remove a flag de quarentena e o executa via ‘nohup’.
Em seguida, passa variáveis de ambiente para comunicação com o servidor de comando e controle (C2) e token, apaga o comando e fecha o Terminal.
O loader Nuitka é um binário Mach-O de 8,6 MB que contém um arquivo comprimido com zstd de 35 MB, onde está a terceira fase (UpdateHelper.bin), o malware Infinity Stealer propriamente dito.
Antes de iniciar a coleta de dados sensíveis, o malware realiza verificações anti-análise para identificar se está rodando em ambiente virtualizado ou sandbox.
A análise da carga Python 3.11 pela Malwarebytes revelou que o infostealer é capaz de capturar screenshots e roubar dados como:
- credenciais de navegadores baseados em Chromium e Firefox
- entradas do macOS Keychain
- carteiras de criptomoedas
- segredos em texto puro presentes em arquivos de desenvolvedor, como .env
Todas as informações roubadas são enviadas via requisições HTTP POST ao servidor C2, e os atores da ameaça recebem notificação no Telegram ao final da operação.
A Malwarebytes destaca que o surgimento de malwares como o Infinity Stealer confirma a evolução das ameaças direcionadas aos usuários de macOS.
Usuários nunca devem colar no Terminal comandos encontrados na internet sem entender completamente os impactos que eles podem causar.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...