Kẻ trộm Infiniti

Infiniti là một phần mềm độc hại tinh vi chuyên đánh cắp thông tin, được thiết kế để nhắm mục tiêu vào người dùng macOS. Các nhà nghiên cứu bảo mật đã quan sát thấy tội phạm mạng phát tán nó thông qua ClickFix, một chiến thuật kỹ thuật xã hội lừa đảo nhằm thao túng người dùng khiến thiết bị của chính họ bị nhiễm virus. Sau khi được kích hoạt, Infiniti có khả năng thu thập nhiều thông tin nhạy cảm, bao gồm thông tin đăng nhập trình duyệt, dữ liệu Keychain và chi tiết ví tiền điện tử.

Vì phần mềm độc hại này hoạt động một cách kín đáo và tập trung vào các thông tin cá nhân và tài chính có giá trị, nên việc loại bỏ ngay lập tức được khuyến nghị mạnh mẽ bất cứ khi nào nghi ngờ bị nhiễm.

Những gì Infiniti lấy từ các hệ thống bị nhiễm virus

Infiniti được thiết kế để trích xuất dữ liệu nhạy cảm từ các môi trường macOS bị xâm nhập. Một trong những mục tiêu chính của nó là đánh cắp thông tin đăng nhập đã lưu từ các trình duyệt dựa trên Chromium và Firefox. Điều này có thể bao gồm tên người dùng, địa chỉ email và mật khẩu được lưu trữ trong trình quản lý mật khẩu của trình duyệt.

Phần mềm độc hại này cũng nhắm mục tiêu vào Keychain của macOS, nơi người dùng thường lưu trữ thông tin đăng nhập, chứng chỉ và các bí mật được bảo vệ khác. Ngoài ra, nó còn tìm kiếm thông tin ví tiền điện tử có thể cho phép kẻ tấn công truy cập vào tài sản kỹ thuật số.

Một mối lo ngại lớn khác là việc phần mềm này tập trung vào các tệp liên quan đến nhà phát triển, chẳng hạn như tệp cấu hình .env. Các tệp này thường chứa khóa API, mã xác thực, thông tin đăng nhập cơ sở dữ liệu và các dữ liệu truy cập nhạy cảm khác. Infiniti cũng có thể chụp ảnh màn hình, tiềm ẩn nguy cơ làm lộ thông tin liên lạc riêng tư, hồ sơ tài chính hoặc tài liệu kinh doanh nội bộ.

Tất cả thông tin bị đánh cắp sau đó được truyền đến các máy chủ do kẻ tấn công kiểm soát thông qua các yêu cầu HTTP POST.

Được chế tạo để tránh bị phát hiện

Trước khi bắt đầu đánh cắp dữ liệu, Infiniti thực hiện các bước kiểm tra để xác định xem dữ liệu có đang được phân tích trong môi trường được kiểm soát hay không. Họ tìm kiếm các nền tảng hộp cát và ảo hóa nổi tiếng như Any.Run, Joe Sandbox, Hybrid Analysis, VMware và VirtualBox.

Nếu những môi trường này được phát hiện, phần mềm độc hại có thể thay đổi hành vi hoặc hạn chế hoạt động để tránh bị nhận dạng. Khả năng chống phân tích này khiến Infiniti khó bị các nhà nghiên cứu và các công cụ bảo mật tự động phát hiện hơn.

Khả năng vượt qua một số hệ thống phòng thủ tự động làm tăng thêm mức độ nguy hiểm, cho phép các phần mềm độc hại này lây lan mà không bị phát hiện trong khi thông tin nhạy cảm được thu thập ngầm.

Rủi ro đối với nạn nhân

Infiniti tiềm ẩn mối đe dọa nghiêm trọng vì nó có thể âm thầm thu thập dữ liệu bí mật mà không bị phát hiện. Nạn nhân có thể gặp phải các vấn đề như tài khoản trực tuyến bị xâm phạm, hoạt động tài chính trái phép, đánh cắp tiền điện tử, gian lận danh tính và lộ thông tin đăng nhập cá nhân hoặc doanh nghiệp.

Vì phần mềm độc hại có thể ẩn mình trong quá trình hoạt động, nên sự lây nhiễm có thể kéo dài lâu hơn dự kiến, làm tăng mức độ thiệt hại.

Infiniti mở rộng hoạt động thông qua ClickFix như thế nào?

Infiniti đã bị phát tán rộng rãi thông qua ClickFix , một kỹ thuật tấn công phi kỹ thuật dựa vào tương tác người dùng hơn là khai thác lỗ hổng phần mềm. Nạn nhân bị chuyển hướng đến một trang xác minh giả mạo, thường được ngụy trang dưới dạng CAPTCHA hoặc kiểm tra bảo mật.

Trang web hướng dẫn người dùng sao chép và dán một lệnh vào Terminal của macOS để tiếp tục. Khi được thực thi, lệnh này sẽ âm thầm tải xuống và khởi chạy phần mềm độc hại, cho phép kẻ tấn công truy cập mà không gây ra nghi ngờ ngay lập tức.

Phương pháp này hiệu quả vì nó đánh lừa người dùng vượt qua các biện pháp bảo vệ an ninh của chính họ.

Các kênh phát tán phần mềm độc hại phổ biến khác

Các tác nhân đe dọa thường sử dụng nhiều phương pháp lây nhiễm khác nhau ngoài ClickFix. Các kênh lây nhiễm phổ biến bao gồm:

• Phần mềm lậu, phần mềm bẻ khóa và phần mềm tạo mã kích hoạt
• Trang web giả mạo hoặc bị xâm phạm
• Quảng cáo độc hại
• Các vụ lừa đảo hỗ trợ kỹ thuật
• Mạng chia sẻ tệp ngang hàng (P2P)
• Khai thác các lỗ hổng phần mềm

Các biện pháp ứng phó và bảo vệ được khuyến nghị

Nếu phát hiện bất kỳ dấu hiệu nào cho thấy thiết bị macOS có thể bị nhiễm Infiniti, cần phải loại bỏ phần mềm độc hại này ngay lập tức. Chậm trễ sẽ làm tăng nguy cơ bị đánh cắp thông tin đăng nhập và truy cập tài khoản trái phép.

Các biện pháp phòng ngừa hiệu quả bao gồm cập nhật phần mềm thường xuyên, tránh tải xuống các nội dung đáng ngờ, từ chối các lệnh Terminal từ các trang web không đáng tin cậy, sử dụng phần mềm bảo mật uy tín và bật xác thực đa yếu tố cho các tài khoản quan trọng.

Đánh giá cuối kỳ

Infiniti stealer là một mối đe dọa phần mềm độc hại macOS có rủi ro cao, kết hợp khả năng ẩn mình, đánh cắp dữ liệu trên diện rộng và các kỹ thuật chống phát hiện. Việc sử dụng ClickFix cho thấy cách thức tin tặc ngày càng dựa vào kỹ thuật thao túng tâm lý để xâm nhập người dùng. Cảnh giác, thói quen duyệt web an toàn và phản ứng nhanh chóng trước sự cố vẫn là những biện pháp phòng vệ thiết yếu chống lại các mối đe dọa loại này.