Um novo malware de roubo de informações chamado Infinity Stealer está direcionado a sistemas macOS, entregando um payload em Python empacotado como executável por meio do compilador open-source Nuitka.
O ataque utiliza a técnica ClickFix, que apresenta um falso CAPTCHA imitando a verificação humana da Cloudflare para enganar usuários e induzi-los a executar código malicioso.
Pesquisadores da Malwarebytes afirmam que esta é a primeira campanha documentada para macOS que combina entrega via ClickFix com um infostealer em Python compilado pelo Nuitka.
Como o Nuitka gera um binário nativo ao compilar o script Python em código C, o executável resultante é mais resistente à análise estática.
Em comparação ao PyInstaller, que empacota Python com bytecode, o Nuitka é mais evasivo porque produz um binário nativo verdadeiro, sem a camada evidente de bytecode, dificultando muito a engenharia reversa.
“A carga final é escrita em Python e compilada com Nuitka, produzindo um binário nativo para macOS, o que torna sua análise e detecção mais difíceis em relação a malwares típicos baseados em Python”, explica a Malwarebytes.
O ataque começa com uma isca ClickFix no domínio update-check[.]com, que simula uma etapa de verificação humana da Cloudflare.
O usuário é instruído a completar o desafio colando um comando curl codificado em base64 no Terminal do macOS, o que contorna as defesas do sistema.
Esse comando decodifica um script Bash que grava a segunda fase (loader Nuitka) em /tmp, remove a flag de quarentena e o executa via ‘nohup’.
Em seguida, passa variáveis de ambiente para comunicação com o servidor de comando e controle (C2) e token, apaga o comando e fecha o Terminal.
O loader Nuitka é um binário Mach-O de 8,6 MB que contém um arquivo comprimido com zstd de 35 MB, onde está a terceira fase (UpdateHelper.bin), o malware Infinity Stealer propriamente dito.
Antes de iniciar a coleta de dados sensíveis, o malware realiza verificações anti-análise para identificar se está rodando em ambiente virtualizado ou sandbox.
A análise da carga Python 3.11 pela Malwarebytes revelou que o infostealer é capaz de capturar screenshots e roubar dados como:
- credenciais de navegadores baseados em Chromium e Firefox
- entradas do macOS Keychain
- carteiras de criptomoedas
- segredos em texto puro presentes em arquivos de desenvolvedor, como .env
Todas as informações roubadas são enviadas via requisições HTTP POST ao servidor C2, e os atores da ameaça recebem notificação no Telegram ao final da operação.
A Malwarebytes destaca que o surgimento de malwares como o Infinity Stealer confirma a evolução das ameaças direcionadas aos usuários de macOS.
Usuários nunca devem colar no Terminal comandos encontrados na internet sem entender completamente os impactos que eles podem causar.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...