Infiniti Stealer
Infiniti 是一款针对 macOS 用户的复杂信息窃取恶意软件。安全研究人员发现,网络犯罪分子通过 ClickFix 传播该恶意软件。ClickFix 是一种欺骗性的社交工程策略,旨在诱使用户感染自己的设备。一旦激活,Infiniti 能够窃取各种敏感信息,包括浏览器凭据、钥匙串数据和加密货币钱包详细信息。
由于这种恶意软件运行隐蔽,且专注于窃取有价值的个人和财务信息,因此一旦怀疑感染,强烈建议立即清除。
目录
英菲尼迪从受感染的系统中窃取了什么
Infiniti 旨在从被入侵的 macOS 环境中窃取敏感数据。其主要目标之一是从基于 Chromium 内核的浏览器和 Firefox 中窃取已保存的登录凭据,包括存储在浏览器密码管理器中的用户名、电子邮件地址和密码。
该恶意软件还会攻击 macOS 钥匙串,用户通常会将凭证、证书和其他受保护的机密信息存储在其中。此外,它还会搜索加密货币钱包信息,攻击者可以利用这些信息访问数字资产。
另一个主要隐患是它会监控开发者相关的文件,例如 .env 配置文件。这些文件通常包含 API 密钥、身份验证令牌、数据库凭据和其他敏感访问数据。Infiniti 还可以截取屏幕截图,从而可能泄露私人通信、财务记录或内部业务资料。
所有被盗信息随后都会通过 HTTP POST 请求传输到攻击者控制的服务器。
专为躲避检测而设计
在开始数据窃取之前,Infiniti 会进行检查,以确定数据是否在受控的分析环境中进行分析。它会查找一些知名的沙箱和虚拟化平台,例如 Any.Run、Joe Sandbox、Hybrid Analysis、VMware 和 VirtualBox。
如果检测到这些环境,恶意软件可能会改变其行为或限制活动以避免被识别。这种反分析能力使得研究人员和自动化安全工具更难检测到 Infiniti。
它能够绕过一些自动防御措施,这增加了危险性,使得感染行为不易被察觉,同时敏感信息在后台被收集。
受害者面临的风险
Infiniti 构成严重威胁,因为它能在不被察觉的情况下悄无声息地收集机密数据。受害者可能面临在线账户被盗、未经授权的金融活动、加密货币被盗、身份盗窃以及个人或公司凭证泄露等问题。
由于恶意软件在运行过程中可以保持隐藏状态,因此感染可能会持续比预期更长的时间,从而加剧损害。
英菲尼迪如何通过ClickFix进行推广
Infiniti 恶意软件一直通过ClickFix进行传播,ClickFix 是一种利用用户交互而非软件漏洞的社会工程学攻击手段。受害者会被重定向到一个虚假的验证页面,该页面通常伪装成验证码或安全检查。
该页面指示用户将一条命令复制并粘贴到 macOS 终端中以继续操作。执行该命令后,恶意软件会在用户不知情的情况下下载并启动,使攻击者能够在不立即引起怀疑的情况下获得访问权限。
这种方法之所以有效,是因为它诱使用户绕过他们自己的安全保护措施。
其他常见的恶意软件传播渠道
攻击者通常会使用除 ClickFix 之外的多种感染方法。常见的传播渠道包括:
- 盗版软件、破解程序和密钥生成器
- 虚假或被入侵的网站
- 恶意广告
- 技术支持骗局
- 点对点(P2P)文件共享网络
- 利用软件漏洞
建议的应对和保护措施
如果发现 macOS 设备可能感染了 Infiniti 恶意软件,应立即将其清除。拖延清除会增加凭证被盗和账户被未经授权访问的风险。
有效的预防措施包括保持软件更新、避免可疑下载、拒绝来自不受信任网站的终端命令、使用信誉良好的安全软件以及在重要帐户上启用多因素身份验证。
最终评估
Infiniti 窃取器是一种高风险的 macOS 恶意软件威胁,它结合了隐蔽性、广泛的数据窃取能力和反检测技术。它利用 ClickFix 漏洞,表明攻击者越来越依赖社会工程手段来入侵用户。保持警惕、养成安全的浏览习惯以及快速响应事件仍然是抵御此类威胁的关键防御措施。
