Mac-gebruikers moeten op hun hoede zijn voor een nieuwe malwaredreiging.
Volgens een nieuw rapport van MalwarebytesInfiniti Stealer is een nieuwe malware-aanval gericht op Mac-gebruikers die gebruik maakt van social engineering-tactieken en, zodra de lading op het apparaat is afgeleverd, zeer moeilijk te detecteren is.
Infiniti-diefstal
De campagne van de hacker begint volgens het rapport met een social engineering-techniek die bekend staat als ClickFix. ClickFix is een tactiek die het doelwit zelf verleidt om kwaadaardige code op zijn computer uit te voeren.
De beoogde gebruiker krijgt een website te zien, vaak via een phishing-e-mail of een pop-up op een gecompromitteerde pagina, met een dringende updatewaarschuwing die beweert dat de gebruiker een menselijke verificatie-captcha van Cloudflare moet voltooien.
Het doelwit krijgt een traditioneel vakje “Ik ben geen robot” te zien om aan te vinken. Het doelwit wordt echter ook gevraagd een ‘handmatige stap’ uit te voeren. De pagina instrueert de gebruiker om naar Spotlight op zijn Mac te gaan en naar de Terminal-app te zoeken. Vervolgens krijgen ze de opdracht om de opgegeven code in Terminal te plakken en op Return te drukken.
Deze code levert Infiniti Stealer op de Mac van het doelwit.
“Omdat de gebruiker de opdracht rechtstreeks uitvoert, worden veel traditionele verdedigingsmechanismen omzeild”, zegt Malwarebytes in zijn rapport. “Er is geen exploit, geen kwaadaardige bijlage en geen drive-by download.”
Mashbare lichtsnelheid
Volgens Malwaybytes is de malware die op de Mac van het slachtoffer wordt afgeleverd, geschreven in Python maar gecompileerd met Nuitka, dat een native macOS-binair bestand creëert. Dit maakt Infiniti Stealer veel moeilijker te analyseren en te detecteren dan het meer typische type malware.
“Voor zover wij weten is dit de eerste gedocumenteerde macOS-campagne die ClickFix-levering combineert met een door Nuitka gecompileerde Python-stealer”, zegt Malwarebytes.
Zodra Infiniti Stealer op een apparaat is geïnstalleerd, zal het proberen gegevens van de Mac van het slachtoffer te stelen en die informatie naar de eigen server van de aanvaller te uploaden. Wachtwoorden, schermafbeeldingen, browsergegevens zoals cookies en andere gevoelige informatie kunnen bij dit soort malware-aanvallen van slachtoffers worden gestolen.
Houd rekening met malwarebedreigingen
Gebruikers moeten altijd voorzichtig zijn bij het volgen van instructies van een website waarmee ze niet vertrouwd zijn. Zelfs dan moeten gebruikers oppassen dat ze zich op een legitieme website bevinden van een bedrijf dat ze wel herkennen en niet phishing website gerund door een slechte acteur.
Gebruikers moeten zich ervan bewust zijn dat er geen enkele vorm van captcha of verificatie bestaat waarvoor code moet worden ingevoerd in de Terminal-app.
Bovendien raad ik iedereen die niet enigszins bekend is met code aan om elk proces te vermijden waarbij code moet worden ingevoerd in de terminal van hun Mac.
Als een gebruiker denkt dat hij of zij mogelijk is geïnfecteerd met malware, raadt Malwarebytes aan om de getroffen computer niet meer te gebruiken. Ze moeten hun accountwachtwoorden op een volledig afzonderlijk apparaat wijzigen en, indien mogelijk, de toegang vanaf de geïnfecteerde computer intrekken.
Infiniti Stealer lijkt een nieuwe trend te volgen waarbij kwaadwillenden zich op Apple-apparaten richten vanwege de onjuiste perceptie dat ze immuun zijn voor virussen en andere soorten aanvallen. DonkerZwaardis bijvoorbeeld een andere nieuwe bedreiging gericht op iPhones en andere iOS-apparaten met een malware-aanval waarbij de gebruiker niet eens een kwaadaardig bestand hoeft te downloaden.
