Ga naar inhoud
  • Drifter

    Door Drifter

    Drifter

    Door Drifter

    Nieuwe “Infinity Stealer”-malware richt zich op macOS via misleidende ClickFix-aanvallen

    Er is een nieuwe vorm van malware ontdekt die specifiek gericht is op macOS-gebruikers: Infinity Stealer. Deze schadelijke software is ontworpen om gevoelige informatie van slachtoffers te stelen en maakt gebruik van geavanceerde technieken om detectie en analyse te bemoeilijken.

    Hoe de aanval werkt

    De aanval begint met een zogenoemde ClickFix-techniek. Hierbij wordt het slachtoffer geconfronteerd met een nepverificatiepagina die sterk lijkt op een legitieme beveiligingscontrole, zoals die van Cloudflare. De pagina beweert dat de gebruiker moet bewijzen dat hij geen robot is.

    clickfix(1).thumb.webp.f2c244dcb31812fcf30d0553d129694d.webp

    In plaats van een normale CAPTCHA-oplossing krijgt de gebruiker instructies om een commando te kopiëren en in de macOS Terminal te plakken. Dit commando is versleuteld (base64-gecodeerd) en bevat in werkelijkheid kwaadaardige instructies.

    Zodra de gebruiker dit commando uitvoert:

    • wordt een verborgen script gedownload via curl
    • decodeert dit script zichzelf
    • schrijft het een tweede fase van de malware naar de map /tmp
    • verwijdert het beveiligingskenmerken zoals de “quarantine flag”
    • start het de malware op de achtergrond met nohup
    • wist het vervolgens zijn eigen sporen en sluit het Terminal-venster

    Hierdoor merkt de gebruiker vaak niet dat er iets mis is gegaan.

    Technische opbouw van de malware

    De aanval bestaat uit meerdere lagen:

    1. Eerste fase (ClickFix)
      • Social engineering (misleiding van de gebruiker)
      • Laat gebruiker zelf malware uitvoeren
    2. Tweede fase (Nuitka-loader)
      • Een relatief klein uitvoerbaar bestand (~8,6 MB)
      • Gecompileerd met de open-source compiler Nuitka
      • Bevat een sterk gecomprimeerd archief (~35 MB, zstd)
    3. Derde fase (Infinity Stealer)
      • De daadwerkelijke infostealer
      • Verpakt als een Mach-O binary (native macOS executable)

    Waarom Nuitka gevaarlijker is dan traditionele methoden

    Normaal gesproken wordt Python-malware vaak verpakt met tools zoals PyInstaller, waarbij de oorspronkelijke bytecode nog relatief eenvoudig te analyseren is.

    Met Nuitka werkt dat anders:

    • Python-code wordt eerst vertaald naar C-code
    • Daarna gecompileerd tot een native binary
    • Er is geen duidelijke Python-bytecode meer zichtbaar

    Dit maakt:

    • reverse engineering aanzienlijk moeilijker
    • detectie door beveiligingssoftware lastiger
    • analyse tijdrovender voor onderzoekers

    Anti-analyse en stealth

    Voordat de malware actief wordt, controleert deze eerst of hij zich in een:

    • virtuele machine
    • sandbox-omgeving
    • analyseomgeving

    bevindt. Als dat zo is, stopt de malware mogelijk met werken om ontdekking te voorkomen.

    Welke gegevens worden gestolen?

    De Infinity Stealer richt zich op een breed scala aan gevoelige informatie:

    🔐 Inloggegevens

    • Wachtwoorden en sessies uit Chromium-gebaseerde browsers (zoals Chrome, Edge)
    • Gegevens uit Firefox

    🍏 macOS-specifieke data

    • Inhoud van de macOS Keychain (opgeslagen wachtwoorden en certificaten)

    💰 Cryptovaluta

    • Walletgegevens van populaire crypto-applicaties

    👨‍💻 Ontwikkelaarsdata

    • Bestanden zoals .env met API-sleutels en tokens
    • Andere platte tekstbestanden met gevoelige informatie

    🖥️ Overige gegevens

    • Screenshots van het scherm
    • Mogelijk andere lokale bestanden

    Data-exfiltratie

    Zodra de gegevens zijn verzameld:

    • worden ze verzonden via HTTP POST-verzoeken naar een command-and-control (C2) server
    • ontvangen de aanvallers een melding via Telegram dat de operatie succesvol is

    Waarom deze aanval zorgwekkend is

    Deze campagne laat zien dat:

    • macOS steeds vaker doelwit wordt van geavanceerde malware
    • aanvallers steeds meer gebruikmaken van social engineering in plaats van technische exploits
    • gebruikers zelf onbewust de beveiliging kunnen omzeilen

    De combinatie van:

    • menselijke misleiding (ClickFix)
    • technische obfuscatie (Nuitka)
    • multi-stage malware

    maakt deze aanval bijzonder effectief.

    Hoe kun je jezelf beschermen?

    Enkele belangrijke aanbevelingen:

    • Plak nooit zomaar commando’s in de Terminal
      Vooral niet als je deze van een website krijgt en de werking niet volledig begrijpt.
    • Wees wantrouwig bij verificatiepagina’s
      Zeker als ze afwijkend gedrag vertonen (zoals Terminal-instructies).
    • Gebruik beveiligingssoftware
      Moderne antivirus- en endpointbescherming kunnen verdachte activiteiten detecteren.
    • Controleer downloads en scripts
      Let op obscure domeinen en onverwachte verzoeken.
    Ga naar articles

    Feedback Gebruiker

    Aanbevolen Reacties

    Er zijn geen reacties om weer te geven.



    Log in om te reageren

    Je kunt een reactie achterlaten na het inloggen



    Login met de gegevens die u gebruikt bij softtrack

×
×
  • Nieuwe aanmaken...