Infiniti Stealer

אינפיניטי היא תוכנה זדונית מתוחכמת לגניבת מידע שנועדה למקד משתמשי macOS. חוקרי אבטחה הבחינו בפושעי סייבר שהפיצו אותה באמצעות ClickFix, טקטיקת הנדסה חברתית מטעה שמפעילה משתמשים כדי לגרום להם להדביק את המכשירים שלהם. לאחר פעילותה, אינפיניטי מסוגלת לאסוף מגוון רחב של מידע רגיש, כולל פרטי דפדפן, נתוני מחזיקי מפתחות ופרטי ארנק מטבעות קריפטוגרפיים.

מכיוון שתוכנה זדונית זו פועלת באופן דיסקרטי ומתמקדת במידע אישי וכלכלי יקר ערך, מומלץ מאוד להסירה מיידית בכל פעם שמתעורר חשד לזיהום.

מה אינפיניטי גונבת ממערכות נגועות

אינפיניטי בנויה לחילוץ נתונים רגישים מסביבות macOS פגועות. אחת המטרות העיקריות שלה היא גניבת פרטי התחברות שנשמרו מדפדפנים מבוססי Chromium ומפיירפוקס. זה יכול לכלול שמות משתמש, כתובות דוא"ל וסיסמאות המאוחסנות במנהלי סיסמאות של דפדפנים.

התוכנה הזדונית מכוונת גם ל-macOS Keychain, שבו משתמשים מאחסנים לעתים קרובות אישורים, אישורים וסודות מוגנים אחרים. בנוסף, היא מחפשת מידע מארנקי קריפטוגרפיים שעלולים לאפשר לתוקפים גישה לנכסים דיגיטליים.

דאגה מרכזית נוספת היא המיקוד שלה בקבצים הקשורים למפתחים, כגון תצורות .env. קבצים אלה מכילים לעתים קרובות מפתחות API, אסימוני אימות, אישורי מסד נתונים ונתוני גישה רגישים אחרים. אינפיניטי יכולה גם ללכוד צילומי מסך, דבר שעלול לחשוף תקשורת פרטית, רשומות פיננסיות או חומר עסקי פנימי.

כל המידע הגנוב מועבר לאחר מכן לשרתים הנשלטים על ידי התוקף באמצעות בקשות HTTP POST.

בנוי כדי להתחמק מגילוי

לפני תחילת גניבת נתונים, אינפיניטי מבצעת בדיקות כדי לקבוע האם הם נבדקים בסביבת ניתוח מבוקרת. היא מחפשת פלטפורמות sandboxing ווירטואליזציה ידועות כגון Any.Run, Joe Sandbox, Hybrid Analysis, VMware ו-VirtualBox.

אם סביבות אלה מזוהות, התוכנה הזדונית עשויה לשנות את התנהגותה או להגביל את פעילותה כדי להימנע מזיהוי. יכולת אנטי-אנליזה זו מקשה על זיהוי אינפיניטי עבור חוקרים וכלי אבטחה אוטומטיים.

יכולתו לעקוף חלק מההגנות האוטומטיות מגבירה את הסכנה, ומאפשרת לזיהומים להישאר בלתי מורגשים בזמן שמידע רגיש נאסף ברקע.

סיכונים לקורבנות

אינפיניטי מהווה איום חמור משום שהיא יכולה לאסוף נתונים סודיים בשקט תוך הימנעות מגילוי. קורבנות עלולים לחוות חשבונות מקוונים שנפרצו, פעילות פיננסית לא מורשית, גניבת מטבעות קריפטוגרפיים, הונאת זהות וחשיפת פרטי גישה פרטיים או ארגוניים.

מכיוון שהתוכנה הזדונית יכולה להישאר מוסתרת במהלך הפעולה, הדבקות עלולות להימשך זמן רב מהצפוי, מה שמגדיל את היקף הנזק.

כיצד אינפיניטי מתפשטת דרך ClickFix

אינפיניטי הופצה באופן פעיל באמצעות ClickFix , טכניקת הנדסה חברתית שמסתמכת על אינטראקציה עם המשתמש ולא על ניצול תוכנה. הקורבנות מופנים לדף אימות מזויף, שלעתים קרובות מוסווה כ-CAPTCHA או בדיקת אבטחה.

הדף מורה למשתמשים להעתיק ולהדביק פקודה לתוך מסוף macOS כדי להמשיך. לאחר ביצוע הפקודה, היא מורידה ומפעילה את התוכנה הזדונית באופן שקט, ומעניקה לתוקפים גישה מבלי לעורר חשד מיידי.

שיטה זו יעילה משום שהיא גורמת למשתמשים לעקוף את הגנות האבטחה שלהם.

ערוצי העברת תוכנות זדוניות נפוצים אחרים

גורמי איום משתמשים לעתים קרובות במספר שיטות הדבקה מעבר ל-ClickFix. ערוצי אספקה נפוצים כוללים:

• תוכנה פיראטית, פיצוחים ומחוללי מפתחות
• אתרים מזויפים או פרוצים
• פרסומות זדוניות
• הונאות תמיכה טכנית
• רשתות שיתוף קבצים עמית לעמית (P2P)
• ניצול פגיעויות תוכנה

אמצעי תגובה והגנה מומלצים

אם יש אינדיקציה כלשהי לכך שמכשיר macOS עלול להיות נגוע ב-Infiniti, יש להסיר את התוכנה הזדונית באופן מיידי. עיכובים מגבירים את הסיכון לגניבת אישורים נוספים ולגישה בלתי מורשית לחשבון.

אמצעי מניעה חזקים כוללים עדכון תוכנה, הימנעות מהורדות חשודות, סירוב לפקודות טרמינל מאתרים לא מהימנים, שימוש בתוכנות אבטחה בעלות מוניטין והפעלת אימות רב-גורמי בחשבונות חשובים.

הערכה סופית

Infiniti stealer הוא איום זדוני של macOS בסיכון גבוה, המשלב התגנבות, יכולות גניבת נתונים נרחבות וטכניקות נגד גילוי. השימוש ב-ClickFix מדגים כיצד תוקפים מסתמכים יותר ויותר על הנדסה חברתית כדי לפגוע במשתמשים. ערנות, הרגלי גלישה מאובטחים ותגובה מהירה לאירועים נותרו הגנות חיוניות מפני איומים מסוג זה.