Jahrelang lebten viele Mac-Nutzer mit der Vorstellung, dass macOS war nahezu immun gegen Malware.Das stimmte nicht ganz, aber der geringere Marktanteil im Vergleich zu Windows führte dazu, dass viele Cyberkriminelle wegschauten. Diese Phase relativer Ruhe neigt sich dem Ende zu, und das Auftauchen von Infiniti Stealer macht das deutlich.
Dieser neue Schadcode ist darauf ausgelegt, Diebstahl sensibler Informationen auf Mac-Computern Infiniti Stealer nutzt Social-Engineering-Techniken, die kaum noch Ähnlichkeit mit den Viren vergangener Zeiten aufweisen, um Passwörter, persönliche Daten und sogar Kryptowährungs-Wallets zu stehlen, ohne dass der Nutzer etwas bemerkt. Durch gefälschte Verifizierungsseiten, automatisierte Skripte und Ausweichmechanismen bleibt der Nutzer völlig ahnungslos.
Das Ende des trügerischen Sicherheitsgefühls auf macOS
Lange Zeit hielt die Mac-Community es für selbstverständlich, dass Virenprobleme waren ein Windows-ProblemDieses Vertrauen rührte zum Teil von der Sicherheitsarchitektur von macOS selbst her, aber auch von einem praktischeren Grund: Es gab weniger Benutzer und damit auch weniger Interesse für Angreifer.
Diese Realität hat sich völlig verändert. Apple hat auf dem europäischen Markt, insbesondere bei Fachleute, Freiberufler und UnternehmenDas hat Mac-Computer zu einem sehr attraktiven Ziel gemacht. Branchen wie Design, Softwareentwicklung, Finanzen und digitales Marketing arbeiten täglich mit hochwertigen Informationen.
Unterdessen haben Sicherheitsforscher einen signifikanten Anstieg festgestellt Infostealer-artige Malware auf macOSDiese Art von Bedrohung zielt darauf ab, Zugangsdaten, Session-Cookies, Kartendaten und Kryptowährungsbestände zu stehlen, um sie schnell in Bargeld umzuwandeln.
Darüber hinaus beschränkt sich moderne Mac-Malware nicht mehr auf einfache Tricks. Techniken wie die folgenden werden immer häufiger beobachtet: dateilose Ausführung mit AppleScript und die Ausnutzung systemeigener Werkzeuge, um unentdeckt zu bleiben. All dies ermöglicht es Infektionen, wochen- oder monatelang aktiv zu bleiben, ohne Verdacht zu erregen.
Infiniti Stealer: Der neue Infostealer, spezialisiert auf Macs
In diesem Kontext betritt Infiniti Stealer die Bühne, ein Malware, die speziell für macOS entwickelt wurde Der Fokus liegt dabei auf Datendiebstahl. Die Bedrohung wurde von Forschern der Malwarebytes Labs detailliert analysiert, die ein sehr spezifisches Angriffsmuster identifiziert haben.
Infiniti Stealer vereint zwei Schlüsselelemente: zum einen die Vertriebstechnik, die als ClickFix bekannt ist, wurde bereits zuvor unter Windows eingesetzt und ist nun an das Apple-Ökosystem angepasst; andererseits handelt es sich um eine bösartige Payload, die in Python geschrieben und mit Nuitka kompiliert wurde und letztendlich eine native Binärdatei für Mac erzeugt, die schwer zu erkennen ist.
Einer der beunruhigendsten Aspekte ist, dass Es beruht nicht auf komplexen technischen Schwachstellen.sondern vielmehr, um den Nutzer zu täuschen. Die Kampagne setzt auf Seiten, die wie legitime Verifizierungssysteme aussehen, ähnlich den bekannten CAPTCHAs oder Cloudflare-Kontrollen, was dazu beiträgt, die Wachsamkeit der Nutzer zu senken.
Malwarebytes hebt hervor, dass Infiniti Stealer demonstriert, wie Strategien, die unter Windows funktioniert haben, werden auf macOS übertragen.Dies ist ein klares Zeichen dafür, dass Kriminelle das System von Apple nicht länger als risikoarmes Ziel betrachten, insbesondere in Europa, wo die Verbreitung von Macs im professionellen Umfeld weiter zunimmt.
Die ClickFix-Falle und gefälschte CAPTCHAs
Das Herzstück des Angriffs liegt in der Technik. ClickFix wurde auf angebliche menschliche Verifizierungen angewendetDer Prozess beginnt, wenn der Benutzer auf eine bösartige Seite stößt, die sich als Sicherheitssystem ausgibt: Auf den ersten Blick scheint es sich um einen einfachen Test zu handeln, um zu bestätigen, dass es sich nicht um einen Bot handelt.
Anstatt den Benutzer aufzufordern, Kästchen anzukreuzen oder Bilder zu identifizieren, zeigt die Seite eine Meldung an, in der er um Folgendes bittet: Kopieren und Einfügen eines Befehls im macOS TerminalUnter dem Vorwand, es handele sich um eine zusätzliche, für den weiteren Verlauf notwendige Überprüfung, wird alles relativ überzeugend präsentiert, sodass es leichtfällt, dass mehrere Personen in die Falle tappen.
Dieser vermeintliche Verifizierungsbefehl ist in Wirklichkeit Schadcode, der die Nutzlast herunterlädt und ausführt von Infiniti Stealer. Nach dem Einfügen in das Terminal und der Ausführung lädt das System die benötigten Dateien herunter, üblicherweise mithilfe von Standardtools wie curl oder Bash-Skripten.
Experten erinnern uns daran, dass Kein legitimes CAPTCHA oder Cloudflare verlangt das Kopieren und Einfügen von Befehlen. Von einer Website zum Terminal. Dieses simple Detail sollte eigentlich alle Alarmglocken schrillen lassen, doch die Kombination aus Eile und Vertrauen in die macOS-Sicherheit führt dazu, dass viele Nutzer es nicht hinterfragen.
Von der Befehlserteilung bis zum Datendiebstahl: So funktioniert Infiniti Stealer.
Sobald der Benutzer den von der gefälschten Verifizierung bereitgestellten Befehl ausführt, wird eine relativ strukturierte Kette von Aktionen in Gang gesetzt. Zuerst wird eine Nutzlast heruntergeladen, die erzeugt eine native Binärdatei von etwa 8,6 MBEntwickelt für den unabhängigen Betrieb unter macOS ohne Abhängigkeit von externen Komponenten.
Diese Binärdatei ist für die Ausführung im Hintergrund zuständig. Vermeidung der Anzeige sichtbarer Fenster oder Benachrichtigungen Um keinen Verdacht zu erregen. Ab diesem Zeitpunkt scheint der Computer normal zu funktionieren, doch die Schadsoftware beginnt, Informationen zu verfolgen und zu sammeln.
Zu den Hauptzielen gehören die Chromium-basierte und Firefox-BrowserDiese speichern eine große Menge an Anmeldeinformationen, Cookies und Autofill-Daten. Zudem zielt die Sicherheitslücke auf den macOS-Schlüsselbund ab, wo Passwörter, Zertifikate und andere sensible Daten gespeichert sind.
Darüber hinaus kann der Infiniti Stealer erfassen aktive Sitzungstoken und gültige CookiesDies ermöglicht es Angreifern, auf Online-Konten zuzugreifen, ohne einen Benutzernamen und ein Passwort eingeben zu müssen, und sogar Zwei-Faktor-Authentifizierungssysteme zu umgehen, wenn die Sitzung bereits geöffnet ist.
Bei fortgeschrittenen Benutzern und Unternehmen legt Malware besonderes Augenmerk auf Dateien wie beispielsweise .env und andere Konfigurationsdateien Diese Dateien enthalten häufig API-Schlüssel, Datenbankzugangsdaten und Daten für den Zugriff auf Cloud-Dienste. Dadurch werden Entwickler und Administratoren zu einem besonders attraktiven Ziel.
Technische Fähigkeiten und Informationsabfluss
Aus technischer Sicht zeichnet sich der Infiniti Stealer durch die Kombination aus ein nativer Ansatz in macOS mit AusweichtechnikenDie Generierung einer benutzerdefinierten Binärdatei erschwert die Arbeit einiger Sicherheitslösungen, die sich auf Skripte oder bekanntere Verhaltensweisen konzentrieren.
Die Schadsoftware ist in der Lage, Daten aus einer Vielzahl von Browsern zu extrahieren und deckt damit einen sehr großen Teil der tatsächlichen Browsernutzung in Europa ab. Hinzu kommt der Zugriff auf... Im macOS-Schlüsselbund sind bereits Zertifikate gespeichert., eine wichtige Informationsquelle für die Inanspruchnahme professioneller Dienstleistungen.
Sobald die gestohlenen Daten gesammelt wurden, werden sie an folgende Adresse gesendet: Server, die von den Angreifern über verschlüsselte Verbindungen kontrolliert werden.Durch die Verwendung sicherer Kanäle wird es für herkömmliche Tools schwierig, Datenabflüsse leicht zu erkennen, da der Datenverkehr mit anderen legitimen Kommunikationsvorgängen vermischt wird.
In manchen Fällen ermöglicht die Kombination aus Anmeldeinformationen, Tokens und API-Schlüsseln Angreifern, von einem einzigen kompromittierten Mac aus weitere Angriffe durchzuführen. hin zu vollständigen UnternehmensinfrastrukturenCode-Repositories, Administrationspanels und sogar Finanzdienstleistungen, die mit dem betroffenen Team verknüpft sind.
Schwerpunktverlagerung: Mac ist kein unbedeutendes Ziel mehr.
Fälle wie der Infiniti-Diebstahl bestätigen etwas, wovor Sicherheitsanalysten schon seit einiger Zeit warnen: macOS ist kein zweitrangiges Ziel mehrDie wachsende Zahl von Nutzern und die Präsenz von Macs in wichtigen Abteilungen machen das potenzielle Gewinnpotenzial für Kriminelle sehr hoch.
In Europa und Spanien hat sich die Nutzung von Macs weit verbreitet. Beratungsunternehmen, Kreativstudios, Fintech-Unternehmen, Technologie-Startups und professionelle BürosIn all diesen Umgebungen werden vertrauliche Dokumente, der Zugang zu Unternehmensplattformen und Bankkonten verwaltet.
Die Verbreitung von Kryptowährungen und digitalen Finanzdienstleistungen hat einen weiteren Anreiz geschaffen. Viele Nutzer sparen. Wallets, Seed-Phrasen und Zugangsdaten für Börsen auf ihrer Ausrüstung, die perfekt zu der Art von Informationen passt, nach denen ein Infostealer sucht.
Gleichzeitig ist das macOS-Entwicklungsökosystem enorm. Programmierwerkzeuge, Paketmanager und Cloud-Bereitstellungsplattformen werden täglich von Mac-Computern aus genutzt, daher Die Kompromittierung eines einzelnen Laptops kann die Tür für eine ganze Infrastruktur öffnen..
Was können Mac-Nutzer tun, um sich zu schützen?
Obwohl der Infiniti-Diebstahl eine ernstzunehmende Bedrohung darstellt, gibt es mehrere Maßnahmen, die das Risiko deutlich verringern können. Die erste und vielleicht wichtigste ist Führen Sie im Terminal niemals Befehle aus, deren Funktion Sie nicht vollständig verstehen.insbesondere wenn sie von einer Webseite stammen.
Websites, die Sie auffordern, im Rahmen einer angeblichen Sicherheitsprüfung Text in das Terminal zu kopieren und einzufügen, sollten als verdächtig betrachtet werden. höchst verdächtigLegitime CAPTCHAs erfordern diese Art von manueller Aktion weder in Spanien noch in irgendeinem anderen Land.
Es ist außerdem ratsam, zusätzliche Vorsichtsmaßnahmen zu treffen, wenn Herunterladen von Software oder Nutzung unbekannter DiensteWann immer möglich, empfiehlt es sich, offizielle Quellen, verifizierte App-Stores und vertrauenswürdige Anbieter zu nutzen.
Auf technischer Ebene kann es sinnvoll sein, die in macOS integrierten Schutzmechanismen zu ergänzen durch spezialisierte Sicherheitslösungen zur Überwachung von anomalem Verhalteneinschließlich der Terminalaktivität und des Auftretens neuer Binärdateien auf sensiblen Routen.
Vorgehensweise bei Verdacht auf eine Infektion mit dem Infiniti Stealer
Besteht ein begründeter Zweifel daran, dass Sie einen dieser Befehle ausgeführt oder eine verdächtige Verifizierungsseite besucht haben, ist es wichtig, ruhig, aber schnell zu handeln. Forscher empfehlen Stellen Sie die Nutzung der Geräte für sensible Aktivitäten ein.wie beispielsweise Online-Banking, Firmen-E-Mail oder Kryptowährungsverwaltung.
Als nächstes ist es ratsam, die Passwörter zu ändern. ein weiteres sauberes GerätPriorisieren Sie Ihre primären E-Mail-Konten, Banking-Apps, Arbeitsdienste und Ihre Apple-ID. Es empfiehlt sich außerdem, Ihre geöffneten Sitzungen zu überprüfen und nicht benötigte zu schließen.
Im Geschäftsumfeld kann es notwendig sein Informieren Sie die IT-Abteilung oder den Sicherheitsbeauftragten. damit sie nach ungewöhnlichen Zugriffen, Änderungen an Repositories oder seltsamen Aktivitäten in Unternehmenskonten suchen können.
Experten zufolge liegt der Schlüssel darin, anzunehmen, dass nach einer Infektion dieser Art Die auf dem Gerät gespeicherten Zugangsdaten könnten kompromittiert sein.Daher ist es wichtig, sie zu widerrufen, regelmäßig zu rotieren und die Zugriffsprotokolle aller wichtigen Dienste zu überprüfen.
Alles rund um Infiniti Stealer untermauert eine klare Erkenntnis: macOS ist nach wie vor ein robustes System, aber es existiert nicht länger isoliert von Malware. Der Anstieg von Infostealern, die Mac-Nutzer in Europa ins Visier nehmen, zeigt, dass Angreifer diese Geräte als äußerst wertvolle Datenquelle entdeckt haben. Um Passwörter, Online-Konten und digitale Daten auf Apple-Computern zu schützen, ist es unerlässlich, die Funktionsweise von Techniken wie ClickFix zu verstehen, bei jeder Verifizierung, die die Nutzung des Terminals erfordert, vorsichtig zu sein und die täglichen Sicherheitsgewohnheiten zu stärken.
