TechFlow rapporte que, le 30 mars, GoPlus Security a révélé l’existence d’un logiciel malveillant de type « stealer » baptisé Infiniti Stealer, qui cible les portefeuilles cryptographiques et les identifiants sensibles des utilisateurs macOS à l’aide d’une attaque d’ingénierie sociale appelée « ClickFix ».
Les attaquants simulent une page de vérification Cloudflare hautement réaliste afin d’inciter les utilisateurs à ouvrir le terminal et à coller manuellement, puis à exécuter, une commande malveillante. Une fois cette commande lancée, le script supprime l’attribut d’isolement macOS et écrit la charge utile suivante dans le répertoire /tmp, où elle s’exécute en mode silencieux. La charge utile finale est un binaire natif macOS compilé à l’aide de Nuitka, ce qui rend considérablement plus difficile sa détection par les outils de sécurité.
Une fois déployé, Infiniti Stealer est capable de voler les identifiants stockés dans les navigateurs Chromium et Firefox, le trousseau macOS, les portefeuilles cryptographiques ainsi que les fichiers de clés développeur (tels que les fichiers .env). Il intègre également des fonctionnalités de détection de bac à sable et d’exécution différée afin d’échapper à la surveillance.
