Infiniti vagis
„Infiniti“ yra sudėtinga informaciją vagianti kenkėjiška programa, skirta „macOS“ vartotojams. Saugumo tyrėjai pastebėjo, kad kibernetiniai nusikaltėliai ją platina per „ClickFix“ – apgaulingą socialinės inžinerijos taktiką, kuria manipuliuojama vartotojais, kad šie užkrėstų savo įrenginius. Kai programa tampa aktyvi, „Infiniti“ gali rinkti įvairią neskelbtiną informaciją, įskaitant naršyklės kredencialus, raktų pakabuko duomenis ir kriptovaliutos piniginės informaciją.
Kadangi ši kenkėjiška programa veikia diskretiškai ir daugiausia dėmesio skiria vertingai asmeninei ir finansinei informacijai, įtarus infekciją, primygtinai rekomenduojama ją nedelsiant pašalinti.
Turinys
Ką „Infiniti“ vagia iš užkrėstų sistemų
„Infiniti“ sukurta tam, kad išgautų neskelbtinus duomenis iš pažeistų „macOS“ aplinkų. Vienas iš pagrindinių jos tikslų – vogti išsaugotus prisijungimo duomenis iš „Chromium“ pagrindu sukurtų naršyklių ir „Firefox“. Tai gali būti vartotojo vardai, el. pašto adresai ir slaptažodžiai, saugomi naršyklės slaptažodžių tvarkytuvėse.
Kenkėjiška programa taip pat taikoma „macOS Keychain“, kurioje vartotojai dažnai saugo prisijungimo duomenis, sertifikatus ir kitas saugomas paslaptis. Be to, ji ieško kriptovaliutų piniginės informacijos, kuri galėtų leisti užpuolikams pasiekti skaitmeninį turtą.
Kitas didelis rūpestis yra dėmesys kūrėjams skirtiems failams, pvz., .env konfigūracijoms. Šiuose failuose dažnai yra API raktai, autentifikavimo žetonai, duomenų bazės kredencialai ir kiti jautrūs prieigos duomenys. „Infiniti“ taip pat gali daryti ekrano kopijas, potencialiai atskleisdama privačius pranešimus, finansinius įrašus ar vidinę verslo medžiagą.
Visa pavogta informacija tada perduodama užpuoliko kontroliuojamiems serveriams per HTTP POST užklausas.
Sukurta išvengti aptikimo
Prieš pradėdama duomenų vagystę, „Infiniti“ atlieka patikrinimus, siekdama nustatyti, ar duomenys tiriami kontroliuojamoje analizės aplinkoje. Ji ieško gerai žinomų smėlio dėžės ir virtualizacijos platformų, tokių kaip „Any.Run“, „Joe Sandbox“, „Hybrid Analysis“, „VMware“ ir „VirtualBox“.
Jei aptinkamos šios aplinkos, kenkėjiška programa gali pakeisti savo elgseną arba apriboti veiklą, kad nebūtų identifikuota. Dėl šios antianalizės galimybės tyrėjams ir automatinėms saugos priemonėms sunkiau aptikti „Infiniti“.
Jo gebėjimas apeiti kai kurias automatines apsaugos priemones padidina pavojų, nes infekcijos lieka nepastebėtos, o fone renkama jautri informacija.
Rizika aukoms
„Infiniti“ kelia rimtą grėsmę, nes gali tyliai rinkti konfidencialius duomenis, vengdama aptikimo. Aukos gali susidurti su pažeistomis internetinėmis paskyromis, neteisėta finansine veikla, kriptovaliutų vagyste, tapatybės sukčiavimu ir privačių ar įmonių prisijungimo duomenų atskleidimu.
Kadangi kenkėjiška programa veikimo metu gali likti paslėpta, infekcijos gali išlikti ilgiau nei tikėtasi, todėl padidėja žalos mastas.
Kaip „Infiniti“ plinta per „ClickFix“
„Infiniti“ buvo aktyviai platinama naudojant „ClickFix“ – socialinės inžinerijos techniką, kuri remiasi naudotojo sąveika, o ne programinės įrangos spragomis. Aukos nukreipiamos į netikrą patvirtinimo puslapį, dažnai užmaskuotą kaip CAPTCHA arba saugumo patikra.
Puslapyje nurodoma, kad vartotojai, norėdami tęsti, nukopijuotų komandą ir įklijuotų ją į „macOS“ terminalą. Įvykdžius komandą, ji tyliai atsisiunčia ir paleidžia kenkėjišką programą, suteikdama užpuolikams prieigą nesukeldama įtarimų.
Šis metodas yra efektyvus, nes jis apgauna vartotojus, kad šie apeitų savo pačių apsaugos priemones.
Kiti dažni kenkėjiškų programų platinimo kanalai
Grėsmių kūrėjai dažnai naudoja ne tik „ClickFix“, bet ir kitus užkrėtimo metodus. Įprasti užkrėtimo kanalai:
- Piratinė programinė įranga, nulaužtos programos ir raktų generatoriai
- Netikros arba pažeistos svetainės
- Kenkėjiškos reklamos
- Techninės pagalbos sukčiavimas
- Lygiaverčių (P2P) failų bendrinimo tinklai
- Programinės įrangos pažeidžiamumų išnaudojimas
Rekomenduojamos reagavimo ir apsaugos priemonės
Jei yra kokių nors požymių, kad „macOS“ įrenginys gali būti užkrėstas „Infiniti“, kenkėjiška programa turėtų būti nedelsiant pašalinta. Vėlavimas padidina tolesnės kredencialų vagystės ir neteisėtos prieigos prie paskyros riziką.
Griežtos prevencinės priemonės apima programinės įrangos atnaujinimą, įtartinų atsisiuntimų vengimą, terminalo komandų iš nepatikimų svetainių atsisakymą, patikimos saugos programinės įrangos naudojimą ir daugiafaktorinio autentifikavimo įjungimą svarbiose paskyrose.
Galutinis vertinimas
„Infiniti stealer“ yra didelės rizikos „macOS“ kenkėjiška programa, kuri apjungia slaptą veikimą, plačias duomenų vagystės galimybes ir apsaugos nuo aptikimo technologijas. „ClickFix“ naudojimas rodo, kaip užpuolikai vis dažniau pasikliauja socialine inžinerija, kad įsilaužtų į vartotojus. Budrumas, saugūs naršymo įpročiai ir greitas reagavimas į incidentus išlieka pagrindinėmis apsaugos nuo tokio pobūdžio grėsmių priemonėmis.
