GoPlus: um programa malicioso está usando o ataque ClickFix para atingir usuários de Mac e roubar carteiras de criptomoedas

De acordo com a Foresight News, a GoPlus emitiu um alerta de segurança: o malware Infiniti Stealer está atacando carteiras cripto de usuários Mac. O programa utiliza técnicas de engenharia social denominadas "ClickFix", criando páginas falsas de CAPTCHA da Cloudflare para induzir os usuários a executarem comandos maliciosos no terminal.

Após a execução do comando, a cadeia de ataque remove o atributo de isolamento do macOS e executa a carga maliciosa em segundo plano. A carga final é um programa de roubo Python compilado para arquivo binário nativo via Nuitka, com alta capacidade de evitar detecção. O Infiniti Stealer coleta credenciais do navegador, Keychain do macOS, carteiras cripto e chaves de desenvolvedor (como arquivos .env), além de possuir funções de detecção de sandbox e execução atrasada.

A GoPlus recomenda aos usuários seguir o princípio de "não clicar, não instalar, não assinar, não transferir". Também orienta verificar arquivos persistentes nos caminhos /tmp e ~/Library/LaunchAgents/ e redefinir credenciais imediatamente.