Νέο macOS malware: Πώς το Infiniti Stealer κλέβει δεδομένα

Σύνοψη

• Εντοπίστηκε το Infiniti Stealer, ένα σύγχρονο κακόβουλο λογισμικό (infostealer) σχεδιασμένο αποκλειστικά για συστήματα macOS.
• Δεν βασίζεται σε ευπάθειες του λειτουργικού συστήματος, αλλά σε τακτικές κοινωνικής μηχανικής. Εξαπατά τους χρήστες ζητώντας τους να αντιγράψουν και να επικολλήσουν κακόβουλες εντολές απευθείας στο Terminal του Mac.
• Ο κώδικας είναι γραμμένος σε Python, αλλά χρησιμοποιεί τον compiler Nuitka για τη μεταγλώττισή του. Αυτό δημιουργεί ένα εκτελέσιμο αρχείο C, το οποίο αποκρύπτει τον αρχικό κώδικα και δυσκολεύει την ανίχνευση από τα προγράμματα προστασίας (antivirus evasion).
• Σαρώνει το σύστημα για αποθηκευμένους κωδικούς πρόσβασης, δεδομένα περιηγητών (cookies, ιστορικό), στοιχεία από το macOS Keychain και τοπικά αποθηκευμένα πορτοφόλια κρυπτονομισμάτων.
• Απαιτείται εξαιρετική προσοχή σε ιστοσελίδες που εμφανίζουν πλαστά μηνύματα σφάλματος (π.χ. "Απαιτείται ενημέρωση" ή πλαστά CAPTCHA) και προτρέπουν τη χρήση του Terminal.

Τι είναι το Infiniti Stealer και πώς λειτουργεί στο macOS;

Το Infiniti Stealer είναι ένα πρόσφατα ανακαλυφθέν κακόβουλο λογισμικό υποκλοπής δεδομένων (infostealer) που στοχεύει συστήματα macOS. Αξιοποιεί την τεχνική κοινωνικής μηχανικής ClickFix, προτρέποντας τα θύματα να επιλύσουν ένα ανύπαρκτο πρόβλημα του browser, επικολλώντας οι ίδιοι έναν κακόβουλο κώδικα στο Terminal. Αναπτύχθηκε αρχικά σε Python και μεταγλωττίστηκε μέσω Nuitka, τεχνική που δυσχεράνει τον εντοπισμό του από λογισμικά ασφαλείας, ενώ εστιάζει στην άμεση υποκλοπή κωδικών, crypto wallets και δεδομένων περιήγησης.

Η εξέλιξη της μεθόδου ClickFix στο οικοσύστημα της Apple

Οι επιθέσεις που στοχεύουν υπολογιστές Mac έχουν μεταβεί από την προσπάθεια εκμετάλλευσης συστημικών κενών ασφαλείας (zero-day exploits) στην εκμετάλλευση της ανθρώπινης απροσεξίας. Το Infiniti Stealer αποτελεί χαρακτηριστικό παράδειγμα αυτής της προσέγγισης, χρησιμοποιώντας την εκστρατεία που οι ερευνητές της Malwarebytes ονομάζουν ClickFix.

Η διαδικασία μόλυνσης ακολουθεί συγκεκριμένα βήματα:

1. Η παγίδα: Ο χρήστης επισκέπτεται έναν παραβιασμένο ιστότοπο ή λαμβάνει ένα παραπλανητικό email. Στην οθόνη του εμφανίζεται ένα πλαστό μήνυμα σφάλματος. Συνήθως, αυτό παίρνει τη μορφή ενός εργαλείου επιβεβαίωσης CAPTCHA (π.χ. "Επιβεβαιώστε ότι είστε άνθρωπος") ή ενός μηνύματος ότι λείπει κάποια γραμματοσειρά ή κρίσιμη ενημέρωση του browser.
2. Η εντολή: Αντί να ζητήσει τη λήψη ενός παραδοσιακού αρχείου .dmg ή .pkg, το πλαστό μήνυμα ζητά από τον χρήστη να ανοίξει την εφαρμογή Terminal του macOS.
3. Η εκτέλεση: Το παράθυρο διαλόγου παρέχει ένα έτοιμο κομμάτι κώδικα με ένα κουμπί «Αντιγραφή» (Copy). Ο ανυποψίαστος χρήστης αντιγράφει τον κώδικα, τον επικολλά στο Terminal και πατάει Enter.

Αυτή η ενέργεια είναι αρκετή. Ο κώδικας, συνήθως μια εντολή curl ή python3 που κατεβάζει και εκτελεί σιωπηλά το ωφέλιμο φορτίο, παρακάμπτει πρακτικά τις ενσωματωμένες προστασίες του macOS, όπως το Gatekeeper, διότι ο ίδιος ο χρήστης εκτελεί χειροκίνητα την εντολή σε επίπεδο τερματικού.

Η χρήση Python και Nuitka Compiler

Το πιο ενδιαφέρον τεχνικό χαρακτηριστικό του Infiniti Stealer είναι η αρχιτεκτονική του. Οι δημιουργοί του έγραψαν τη βασική λειτουργικότητα του infostealer σε γλώσσα προγραμματισμού Python. Ωστόσο, αντί να διανείμουν τον κώδικα Python ή να χρησιμοποιήσουν γνωστά εργαλεία όπως το PyInstaller, επέλεξαν το Nuitka.

Το Nuitka είναι ένας source-to-source compiler. Αναλαμβάνει κώδικα Python και τον μεταφράζει σε γλώσσα C, δημιουργώντας στη συνέχεια ένα αυτόνομο εκτελέσιμο αρχείο. Αυτή η επιλογή εξυπηρετεί δύο κρίσιμους σκοπούς για τους δημιουργούς του malware:

• Obfuscation: Ο κώδικας C που προκύπτει είναι εξαιρετικά δύσκολο να αναλυθεί μέσω αντίστροφης μηχανικής από τους αναλυτές κυβερνοασφάλειας, σε σύγκριση με ένα απλό script Python.
• Evasion: Τα περισσότερα συστήματα προστασίας endpoint (EDR) και τα παραδοσιακά antivirus συχνά διαθέτουν υπογραφές για αρχεία που παράγονται από το PyInstaller. Τα εκτελέσιμα του Nuitka διαθέτουν διαφορετική δομή και συχνά καταφέρνουν να παρακάμψουν τις στατικές αναλύσεις. Το μέγεθος του αρχείου που προκύπτει είναι συνήθως μεγάλο (αρκετά megabytes), γεγονός που επίσης αποτρέπει ορισμένους μηχανισμούς ανάλυσης cloud-sandboxing να το εξετάσουν διεξοδικά.

Δεδομένα-Στόχοι: Τι υποκλέπτει το Infiniti Stealer

Μόλις εγκατασταθεί και εκτελεστεί το ωφέλιμο φορτίο, το Infiniti Stealer δρα ταχύτατα. Δεν επιχειρεί να κρυπτογραφήσει τα αρχεία του συστήματος (όπως κάνει το ransomware), αλλά λειτουργεί αποκλειστικά ως εργαλείο εξόρυξης ευαίσθητων δεδομένων. Η ανάλυση της Malwarebytes επιβεβαιώνει ότι το malware σαρώνει και εξάγει:

• Δεδομένα Web Browsers: Στοχεύει τους Chrome, Safari, Firefox, Edge, Brave και Opera. Υποκλέπτει αποθηκευμένους κωδικούς πρόσβασης, δεδομένα αυτόματης συμπλήρωσης (autofill), στοιχεία πιστωτικών καρτών και session cookies (τα οποία μπορούν να χρησιμοποιηθούν για παράκαμψη του 2FA).
• Πορτοφόλια Κρυπτονομισμάτων (Crypto Wallets): Αναζητά αρχεία διαμόρφωσης και κλειδιά από δημοφιλή τοπικά wallets (όπως το Exodus ή το Electrum) καθώς και browser extensions (όπως το MetaMask).
• Μηνύματα και Επικοινωνία: Εξάγει δεδομένα συνεδρίας από εφαρμογές όπως το Telegram και το Discord.
• Apple Keychain: Επιχειρεί να αποκτήσει πρόσβαση στην ενσωματωμένη διαχείριση κωδικών του macOS, όπου αποθηκεύονται τα πλέον κρίσιμα διαπιστευτήρια του χρήστη.
• Στοιχεία Συστήματος: Συλλέγει πληροφορίες hardware (διεύθυνση MAC, έκδοση λειτουργικού, hostname, διεύθυνση IP) για τη δημιουργία προφίλ του θύματος.

Όλα τα συλλεχθέντα δεδομένα συμπιέζονται σε ένα αρχείο ZIP και αποστέλλονται σε απομακρυσμένους διακομιστές ελέγχου (Command and Control - C2 servers) που διαχειρίζονται οι κυβερνοεγκληματίες.

Ο αντίκτυπος στους χρήστες στην Ελλάδα και πρακτικά μέτρα προστασίας

Η εμφάνιση του Infiniti Stealer επιβεβαιώνει τη ραγδαία αύξηση των επιθέσεων στα οικοσυστήματα της Apple. Στην ελληνική αγορά, η χρήση υπολογιστών Mac αυξάνεται σταθερά, τόσο σε οικιακό επίπεδο όσο και σε εταιρικά περιβάλλοντα (εταιρείες τεχνολογίας, διαφημιστικές, developers). Η πεποίθηση ότι «τα Mac δεν κολλούν ιούς» καθιστά το τοπικό κοινό ιδιαίτερα ευάλωτο σε επιθέσεις κοινωνικής μηχανικής.

Οι τεχνικές ClickFix συχνά μεταφράζονται σε τοπικές γλώσσες μέσω αυτοματοποιημένων εργαλείων. Επομένως, ένας Έλληνας χρήστης μπορεί να συναντήσει μια σελίδα που γράφει σε άπταιστα ελληνικά: «Το πρόγραμμα περιήγησης σας είναι παρωχημένο. Αντιγράψτε αυτόν τον κωδικό στο Τερματικό (Terminal) για ενημέρωση».

Μέτρα προστασίας

1. Εκπαίδευση: Κανένα απολύτως νόμιμο λογισμικό, λειτουργικό σύστημα ή ιστοσελίδα δεν θα σας ζητήσει ποτέ να επιλύσετε ένα σφάλμα ή να αποδείξετε ότι είστε άνθρωπος, εκτελώντας εντολές στο Terminal.
2. Ασφάλεια Επιπέδου Δικτύου: Η χρήση αξιόπιστων DNS (όπως Cloudflare 1.1.1.2 για malware blocking) μπορεί να μπλοκάρει την πρόσβαση σε γνωστά domains που διανέμουν το ClickFix payload.
3. Λογισμικό Ασφαλείας: Παρότι το Infiniti Stealer παρακάμπτει ορισμένα EDR λόγω του Nuitka, τα ενημερωμένα λογισμικά προστασίας (όπως της Malwarebytes) μπορούν να αναγνωρίσουν τη συμπεριφορά του (behavioral analysis) κατά τη φάση της εκτέλεσης.

Με τη ματιά του Techgear

Η ανάλυση του Infiniti Stealer καταδεικνύει την αλλαγή δεδομένων στην κυβερνοασφάλεια του macOS. Οι επιτιθέμενοι πλέον κατανοούν ότι το Gatekeeper, το SIP (System Integrity Protection) και η αρχιτεκτονική ARM της Apple καθιστούν τη δημιουργία παραδοσιακών ιών (worms ή trojans) ασύμφορη. Η στρατηγική τους βασίζεται στη θεωρία πως ο πιο αδύναμος κρίκος παραμένει ο διαχειριστής του συστήματος. 

Η τεχνική του ClickFix αφαιρεί την πολυπλοκότητα των exploits και μεταφέρει την ευθύνη της εγκατάστασης στα χέρια του ίδιου του χρήστη. Η χρήση του Nuitka compiler αποδεικνύει την τεχνική αρτιότητα των δημιουργών του malware, καθώς προσθέτει ένα σοβαρό εμπόδιο στην ανάλυση του κώδικα από ερευνητές. 

Ως χρήστες, πρέπει να συνειδητοποιήσουμε ότι το Terminal είναι εργαλείο ελέγχου του συστήματος. Όταν ένας εξωτερικός σύνδεσμος ζητά πρόσβαση σε αυτό, η μοναδική ορθή αντίδραση είναι το άμεσο κλείσιμο της καρτέλας.