🌟 Atualização imperdível para quem gosta de estar bem informado!
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um novo malware de roubo de informações chamado Infinity Stealer tem como alvo sistemas macOS com uma carga útil Python empacotada como um executável usando o compilador Nuitka de código aberto.
O ataque usa a técnica ClickFix, apresentando um CAPTCHA falso que imita a verificação humana da Cloudflare para induzir os usuários a executar código malicioso.
Pesquisadores da Malwarebytes dizem que esta é a primeira campanha documentada do macOS que combina a entrega ClickFix com um infostealer baseado em Python compilado usando Nuitka.
Como Nuitka produz um binário nativo compilando o script Python em código C, o executável resultante é mais resistente à análise estática.
Comparado ao PyInstaller, que agrupa Python com bytecode, é mais evasivo porque produz um binário nativo real sem nenhuma camada de bytecode óbvia, tornando a engenharia reversa muito mais difícil.
"A carga final é escrita em Python e compilada com Nuitka, produzindo um binário nativo do macOS. Isso torna mais difícil analisar e detectar do que o malware típico baseado em Python", diz Malwarebystes.
Cadeia de ataque
O ataque começa com uma isca ClickFix no domínio update-check[.]com, posando como uma etapa de verificação humana da Cloudflare e pedindo ao usuário para concluir o desafio colando um comando curl ofuscado em base64 no terminal do macOS, ignorando as defesas no nível do sistema operacional.
Etapa ClickFix usada em ataques InfinityFonte: Malwarebytes
O comando decodifica um script Bash que grava o estágio 2 (carregador Nuitka) em /tmp, em seguida, remove o sinalizador de quarentena e o executa via ‘nohup’. Finalmente, ele passa o comando e controle (C2) e o token por meio de variáveis de ambiente e, em seguida, se exclui e fecha a janela do Terminal.
O carregador Nuitka é um binário Mach-O de 8,6 MB que contém um arquivo compactado zstd de 35 MB, contendo o estágio 3 (UpdateHelper.bin), que é o malware Infinity Stealer.
A visão de desmontagem do malwareFonte: Malwarebytes
Antes de começar a coletar dados confidenciais, o malware realiza verificações de antianálise para determinar se está sendo executado em um ambiente virtualizado/em sandbox.
A análise da Malwarebytes da carga útil do Python 3.11 descobriu que o ladrão de informações pode fazer capturas de tela e coletar os seguintes dados:
Credenciais de navegadores baseados em Chromium e Firefox
Entradas do chaveiro do macOS
Carteiras de criptomoeda
Segredos de texto simples em arquivos de desenvolvedor, como .env
Todos os dados roubados são exfiltrados por meio de solicitações HTTP POST para o C2, e uma notificação do Telegram é enviada aos agentes da ameaça após a conclusão da operação.
A Malwarebytes sublinha que o aparecimento de malware como o Infinity Stealer é a prova de que as ameaças aos utilizadores do macOS estão cada vez mais avançadas e direcionadas.
Os usuários nunca devem colar no Terminal comandos que encontram online e não entendem totalmente.
Pentesting automatizado cobre apenas 1 de 6 superfícies.
O pentesting automatizado prova que o caminho existe. O BAS prova se seus controles o impedem. A maioria das equipes executa uma sem a outra. Este whitepaper mapeia seis superfícies de validação, mostra onde termina a cobertura e fornece aos profissionais três perguntas de diagnóstico para qualquer avaliação de ferramenta.
Obtenha sua cópia agora
O ataque usa a técnica ClickFix, apresentando um CAPTCHA falso que imita a verificação humana da Cloudflare para induzir os usuários a executar código malicioso.
Pesquisadores da Malwarebytes dizem que esta é a primeira campanha documentada do macOS que combina a entrega ClickFix com um infostealer baseado em Python compilado usando Nuitka.
Como Nuitka produz um binário nativo compilando o script Python em código C, o executável resultante é mais resistente à análise estática.
Comparado ao PyInstaller, que agrupa Python com bytecode, é mais evasivo porque produz um binário nativo real sem nenhuma camada de bytecode óbvia, tornando a engenharia reversa muito mais difícil.
"A carga final é escrita em Python e compilada com Nuitka, produzindo um binário nativo do macOS. Isso torna mais difícil analisar e detectar do que o malware típico baseado em Python", diz Malwarebystes.
Cadeia de ataque
O ataque começa com uma isca ClickFix no domínio update-check[.]com, posando como uma etapa de verificação humana da Cloudflare e pedindo ao usuário para concluir o desafio colando um comando curl ofuscado em base64 no terminal do macOS, ignorando as defesas no nível do sistema operacional.
Etapa ClickFix usada em ataques InfinityFonte: Malwarebytes
O comando decodifica um script Bash que grava o estágio 2 (carregador Nuitka) em /tmp, em seguida, remove o sinalizador de quarentena e o executa via ‘nohup’. Finalmente, ele passa o comando e controle (C2) e o token por meio de variáveis de ambiente e, em seguida, se exclui e fecha a janela do Terminal.
O carregador Nuitka é um binário Mach-O de 8,6 MB que contém um arquivo compactado zstd de 35 MB, contendo o estágio 3 (UpdateHelper.bin), que é o malware Infinity Stealer.
A visão de desmontagem do malwareFonte: Malwarebytes
Antes de começar a coletar dados confidenciais, o malware realiza verificações de antianálise para determinar se está sendo executado em um ambiente virtualizado/em sandbox.
A análise da Malwarebytes da carga útil do Python 3.11 descobriu que o ladrão de informações pode fazer capturas de tela e coletar os seguintes dados:
Credenciais de navegadores baseados em Chromium e Firefox
Entradas do chaveiro do macOS
Carteiras de criptomoeda
Segredos de texto simples em arquivos de desenvolvedor, como .env
Todos os dados roubados são exfiltrados por meio de solicitações HTTP POST para o C2, e uma notificação do Telegram é enviada aos agentes da ameaça após a conclusão da operação.
A Malwarebytes sublinha que o aparecimento de malware como o Infinity Stealer é a prova de que as ameaças aos utilizadores do macOS estão cada vez mais avançadas e direcionadas.
Os usuários nunca devem colar no Terminal comandos que encontram online e não entendem totalmente.
Pentesting automatizado cobre apenas 1 de 6 superfícies.
O pentesting automatizado prova que o caminho existe. O BAS prova se seus controles o impedem. A maioria das equipes executa uma sem a outra. Este whitepaper mapeia seis superfícies de validação, mostra onde termina a cobertura e fornece aos profissionais três perguntas de diagnóstico para qualquer avaliação de ferramenta.
Obtenha sua cópia agora
#samirnews #samir #news #boletimtec #novo #malware #infinity #stealer #captura #dados #do #macos #por #meio #de #iscas #clickfix
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário