新型Mac恶意软件借仿冒验证页面实施精准窃密
GoPlus Security近日通报,一种代号为Infiniti Stealer的高级窃密程序正通过名为"ClickFix"的社会工程学手段,对Mac系统用户展开定向攻击。该攻击以伪装成Cloudflare身份验证界面的形式诱使受害者在终端中手动输入并执行恶意指令。
隐蔽部署机制规避安全防护
一旦用户执行命令,恶意脚本将立即移除macOS系统的文件隔离属性,并将后续载荷写入临时目录/ tmp,实现静默运行。其最终载荷采用Nuitka编译为原生macOS二进制格式,有效绕过常规安全工具的静态分析机制,显著提升持续潜伏能力。
多维度敏感数据窃取与反追踪设计
该恶意软件具备完整的数据采集链路,可从Chromium系及Firefox浏览器中提取登录凭据,读取macOS系统钥匙串内容,盗取加密货币钱包文件以及开发者常用的环境密钥配置(如 .env 文件)。同时内置沙箱环境识别功能与延迟启动逻辑,确保在非目标环境中不触发行为,从而有效逃避检测与溯源。
