Właściciele komputerów Mac na celowniku: złośliwe oprogramowanie Infiniti kradnie dane portfeli kryptowalutowych za pośrednictwem Terminala
Badacze z Malwarebytes odkryli nową złośliwą kampanię skierowaną do właścicieli MacBooków i komputerów stacjonarnych Mac. Atakujący stosują metodę inżynierii społecznej ClickFix, wykorzystując fałszywe strony CAPTCHA, które naśladują usługę Cloudflare.
Ten artykuł został przetłumaczony z oryginału. Przeczytaj oryginalną wersję przygotowaną przez naszego korespondenta tutaj.
Atak jest inicjowany za pośrednictwem domeny update-check[.]com, gdzie użytkownicy są proszeni o przejście "weryfikacji ludzkiej" w celu uzyskania dostępu do treści. Zamiast standardowego kliknięcia, ofiara jest proszona o skopiowanie i wklejenie określonego polecenia do terminala systemowego. Manipulacja ta pozwala na całkowite ominięcie wbudowanych mechanizmów bezpieczeństwa macOS, gdyż złośliwy kod wykonywany jest przez samego użytkownika. Uruchomienie skryptu po cichu instaluje infostealera nowej generacji o nazwie Infiniti Stealer. Kampania ta potwierdza, że systemy Apple nie są już "bezpieczną przystanią" dla inwestorów kryptowalutowych.
Cechy techniczne i ukryte mechanizmy Infiniti
Infiniti Stealer to wyrafinowane złośliwe oprogramowanie skompilowane do natywnego pliku binarnego macOS, co sprawia, że jego wykrycie przez programy antywirusowe jest niezwykle trudne. Program działa całkowicie w ukryciu, nie uruchamiając żadnych wyskakujących okienek ani ostrzeżeń systemowych po aktywacji skryptu. Jego głównym celem jest wyodrębnianie poufnych danych z przeglądarek internetowych i systemowego magazynu Keychain.
Stanowi on szczególne zagrożenie dla posiadaczy kryptowalut, ponieważ jest skonfigurowany do automatycznego wyszukiwania plików portfeli kryptowalut. Ponadto program skanuje pliki deweloperskie w poszukiwaniu kluczy API i haseł oraz wykonuje zrzuty ekranu podczas działania. Aby zapobiec analizie, złośliwe oprogramowanie sprawdza środowisko wykonawcze pod kątem maszyn wirtualnych i narzędzi bezpieczeństwa. Wszystkie skradzione dane są natychmiast przesyłane do zdalnego serwera dowodzenia atakujących za pośrednictwem Telegramu.
Rosnące zagrożenia dla portfeli osobistych i statystyki kradzieży
Incydent ten wpisuje się w globalny trend nasilających się ataków na indywidualnych użytkowników kryptowalut. Wcześniej wykryto, że złośliwe oprogramowanie GhostClaw rozprzestrzenia się za pośrednictwem menedżera pakietów npm, skutecznie atakując około 178 programistów. Według raportu Chainalysis, łączna kwota skradzionych środków w branży osiągnęła krytyczny poziom 3,4 miliarda dolarów w 2025 roku.
Warto zauważyć, że udział włamań do portfeli osobistych wzrósł z 7,3% w 2022 roku do rekordowych 44% w 2024 roku. Gdyby nie anomalna skala ataku na giełdę Bybit, udział włamań do portfeli osobistych w 2025 r. wyniósłby 37%. Hakerzy coraz częściej dostosowują metody charakterystyczne wcześniej tylko dla systemu Windows do architektury systemu Apple. Użytkownicy powinni zachować szczególną czujność i nigdy nie wklejać kodu stron trzecich do konsoli zarządzania systemem.
Analiza ryzyka i trendy w cyberbezpieczeństwie
Migracja ataków typu ClickFix na platformę macOS oznacza koniec ery "bezpieczeństwa przez zaciemnianie" dla ekosystemu Apple. Analizy wskazują na gwałtowny wzrost liczby ataków na portfele osobiste z roku na rok, co wymaga natychmiastowego przejścia na metody sprzętowe Cold Storage. Wykorzystanie natywnych plików binarnych zamiast prostych skryptów zwiększa przeżywalność złośliwego oprogramowania w systemie o 40-60% w porównaniu z analogami.
Łączne szkody w wysokości 3,4 miliarda dolarów w ubiegłym roku podkreślają, że tworzenie złożonego oprogramowania, takiego jak Infiniti, jest wysoce dochodowym biznesem dla grup hakerskich. Praktyczne znaczenie tej wiadomości polega na potrzebie wdrożenia ścisłej higieny cyfrowej: odmowy wykonywania jakichkolwiek poleceń z niezweryfikowanych źródeł internetowych. Biorąc pod uwagę 44% udział w naruszeniach osobistych portfeli, czynnik ludzki pozostaje najsłabszym ogniwem w ochronie zasobów cyfrowych.
Niedawno pisaliśmy, że eksperci Google odkryli nowe narzędzie do hakowania iPhone'ów , które jest już wykorzystywane przez oszustów kryptowalutowych. Luki w smartfonach Apple mogą pozwolić atakującym na uzyskanie dostępu do portfeli kryptowalutowych i danych osobowych użytkowników. Jeśli nawet iPhone nie może być już uważany za bezpieczny, to gdzie należy przechowywać cyfrowe aktywa?
-
Afganistan
-
Albania
-
Algieria
-
Angola
-
Arabia Saudyjska
-
Argentyna
-
Armenia
-
Australia
-
Austria
-
Azerbejdżan
-
Bahamy
-
Bahrajn
-
Bangladesz
-
Belgia
-
Białoruś
-
Boliwia
-
Botswana
-
Brazylia
-
Brunei Darussalam
-
Bułgaria
-
Chile
-
Chiny
-
Chorwacja
-
Cypr
-
Czarnogóra
-
Czechy
-
DR Konga
-
Dania
-
Egipt
-
Ekwador
-
Estonia
-
Eswatini
-
Etiopia
-
Filipiny
-
Finlandia
-
Francja
-
Ghana
-
Grecja
-
Gruzja
-
Haiti
-
Hiszpania
-
Holandia
-
Hongkong
-
Indie
-
Indonezja
-
Irak
-
Iran, republika islamska
-
Irlandia
-
Izrael
-
Jamajka
-
Japonia
-
Jemen
-
Jordania
-
Kambodża
-
Kamerun
-
Kanada
-
Katar
-
Kazachstan
-
Kenia
-
Kirgistan
-
Kolumbia
-
Kongo
-
Korea
-
Kostaryka
-
Kuba
-
Kuwejt
-
Laos
-
Lesotho
-
Liban
-
Libia
-
Litwa
-
Luksemburg
-
Macedonia Północna
-
Madagaskar
-
Malezja
-
Malta
-
Maroko
-
Mauritius
-
Meksyk
-
Mjanma
-
Mongolia
-
Mozambik
-
Mołdawia
-
Namibia
-
Nepal
-
Niemcy
-
Nigeria
-
Norwegia
-
Nowa Zelandia
-
Oman
-
Pakistan
-
Palestyna
-
Panama
-
Papua-Nowa Gwinea
-
Paragwaj
-
Peru
-
Polska
-
Portoryko
-
Portugalia
-
Republika Dominikańska
-
Republika Południowej Afryki
-
Reunion
-
Rumunia
-
Rwanda
-
Salwador
-
Serbia
-
Singapur
-
Somalia
-
Sri Lanka
-
Stany Zjednoczone
-
Syria
-
Szwajcaria
-
Szwecja
-
Słowacja
-
Słowenia
-
Tadżykistan
-
Tajlandia
-
Tajwan, prowincja Chin
-
Tanzania
-
Trynidad i Tobago
-
Tunezja
-
Turcja
-
Uganda
-
Ukraina
-
Urugwaj
-
Uzbekistan
-
Wenezuela
-
Wietnam
-
Wybrzeże Kości Słoniowej
-
Węgry
-
Włochy
-
ZEA
-
Zambia
-
Zimbabwe
-
Zjednoczone Królestwo
-
Łotwa
- Forex
- Crypto
