SOC Prime Bias: Moyen

30 Mar 2026 12:52 UTC

Infiniti Stealer : un nouvel infostealer macOS utilisant ClickFix et Python/Nuitka

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Suivre
Infiniti Stealer : un nouvel infostealer macOS utilisant ClickFix et Python/Nuitka
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

Un nouvel infostealer macOS nommé Infiniti Stealer a été repéré en utilisant un leurre d’ingénierie sociale ClickFix pour infecter les utilisateurs. Le malware est construit avec Nuitka, qui convertit le code Python en un binaire Mach-O natif, rendant l’inspection statique plus difficile. Une fois exécuté, il vole des identifiants, des données du trousseau d’accès, des fichiers de portefeuilles de cryptomonnaie et d’autres informations sensibles, puis exfiltre les données collectées via des requêtes HTTP POST. La campagne repose également sur une fausse page CAPTCHA hébergée sur un domaine malveillant pour inciter les victimes à exécuter une commande Bash nuisible.

Enquête

Les chercheurs ont découvert la charge utile lors d’une chasse aux menaces de routine et l’ont d’abord suivie sous le nom temporaire NukeChain avant que le panneau de l’acteur de la menace n’expose le marquage final en tant qu’Infiniti Stealer. L’analyse a révélé un flux en trois étapes : un dropper Bash livré via un faux CAPTCHA, un chargeur compilé par Nuitka, et un module voleur basé sur Python. Le dropper place le binaire dans /tmp, supprime l’attribut de quarantaine et le lance tout en passant les détails C2 via des variables d’environnement. La dernière étape collecte des données à partir des navigateurs, du trousseau, des portefeuilles et des fichiers liés au développeur avant de les envoyer au serveur contrôlé par l’attaquant.

Atténuation

Les utilisateurs ne devraient jamais copier et exécuter des commandes à partir de sites web inconnus, en particulier les pages prétendant vérifier des défis CAPTCHA. Les défenseurs devraient inspecter et supprimer les fichiers suspects dans /tmp or ~/Library/LaunchAgents, effectuer une analyse anti-malware de confiance, et changer les mots de passe de tous comptes potentiellement exposés depuis un système propre. Tout jeton d’API actif ou clé SSH qui pourrait avoir été collecté devrait également être révoqué.

Réponse

Les équipes de détection devraient surveiller le script dropper et le binaire compilé par Nuitka en surveillant la création de fichiers dans /tmp qui correspond au schéma de nommage décrit. Les alertes devraient se déclencher lors de l’exécution de la commande Bash malveillante et sur le trafic HTTP POST sortant vers le domaine C2 identifié. L’accès au réseau à update-check.com and infiniti-stealer.com devrait être bloqué. Un examen légal basé sur l’hôte devrait alors identifier les identifiants volés et soutenir les réinitialisations d’identifiants obligatoires.

Flux d’attaque

Exécution de simulation

Prérequis : Le contrôle préalable de télémétrie et de base doit avoir réussi.

Narration et commandes d’attaque

Un attaquant livre un lien de phishing qui, une fois ouvert sur un poste de travail macOS, exécute la commande suivante en une seule ligne dans Terminal. La commande :

  1. Télécharge une URL encodée en base64 (l’hôte de la charge utile) via curl -sSfL.
  2. Décode la chaîne base64 pour révéler l’URL HTTPS réelle.
  3. Exécute le script téléchargé avec bash.
  4. Exécute sous nohup pour le garder actif après la fermeture du terminal.
  5. Supprime l’attribut de quarantaine (xattr -dr com.apple.quarantine) pour contourner Gatekeeper.

Ces étapes produisent exactement les fragments de ligne de commande que la règle Sigma surveille, générant ainsi l’alerte attendue.

Script de test de régression

#!/usr/bin/env bash
# ------------------------------------------------------------
# Simulation d'infection par Infiniti Stealer (macOS)
# ------------------------------------------------------------

# 1. Construire la commande malveillante en une seule ligne (exactement comme la règle l'attend)
MALICIOUS_CMD="bash /dev/null 2>&1 &"
MALICIOUS_CMD+=" && xattr -dr com.apple.quarantine /Applications/Utilities/Terminal.app"

# 3. Exécuter la commande
eval "$MALICIOUS_CMD"

# 4. Attendre quelques secondes pour permettre l'ingestion par le SIEM
sleep 5

# 5. Afficher un marqueur pour la vérification manuelle
echo ">>> Simulation exécutée – surveillez le SIEM pour une alerte <<<"

Commandes de nettoyage

#!/usr/bin/env bash
# ------------------------------------------------------------
# Nettoyage après simulation d'Infiniti Stealer
# ------------------------------------------------------------

# Tuer tous les processus nohup en arrière-plan démarrés par la simulation
pkill -f "bash /dev/null || true

echo "Nettoyage terminé."

Fin du rapport