GoPlus: вредоносная программа использует атаку ClickFix против пользователей Mac для кражи криптовалютных кошельков

По информации Foresight News, GoPlus выпустил предупреждение о безопасности: вредоносная программа Infiniti Stealer атакует криптовалютные кошельки пользователей Mac. Эта программа использует социотехнический метод «ClickFix», подделывая страницу Cloudflare CAPTCHA, чтобы побудить пользователей выполнить вредоносную команду в терминале.

После выполнения команды эта цепочка атаки удаляет изоляционные атрибуты macOS и запускает вредоносную нагрузку в фоновом режиме. Финальный вредоносный компонент представляет собой программу на Python, скомпилированную Nuitka в нативный бинарный файл, что обеспечивает хорошую способность обходить системы обнаружения. Infiniti Stealer получает доступ к браузерным учетным данным, macOS Keychain, криптовалютным кошелькам и ключам разработчиков (например, файлы .env), а также обладает функциями обнаружения песочницы и отложенного выполнения.

GoPlus рекомендует пользователям придерживаться принципа «не кликать, не устанавливать, не подписывать, не переводить средства», проверять наличие файлов постоянного хранения по путям /tmp и ~/Library/LaunchAgents/, а также своевременно менять учетные данные.