TechFlow đưa tin, ngày 30 tháng 3, theo tiết lộ từ GoPlus Security, một phần mềm gián điệp mang tên Infiniti Stealer đang tấn công người dùng macOS nhằm đánh cắp ví tiền mã hóa và thông tin xác thực nhạy cảm thông qua kỹ thuật xã hội học “ClickFix”.
Đối tượng tấn công tạo ra một trang xác minh CAPTCHA của Cloudflare trông gần như thật để lừa người dùng mở Terminal và dán thủ công vào đó một lệnh độc hại để thực thi. Sau khi lệnh được thực thi, tập lệnh sẽ loại bỏ thuộc tính cách ly (quarantine attribute) của macOS và ghi tải trọng tiếp theo vào thư mục /tmp để chạy ngầm. Tải trọng cuối cùng là một tệp nhị phân macOS gốc được biên dịch bằng Nuitka, điều này làm tăng đáng kể độ khó trong việc phát hiện bởi các công cụ bảo mật.
Sau khi được triển khai, Infiniti Stealer có khả năng đánh cắp thông tin xác thực từ trình duyệt Chromium/Firefox, kho khóa (keychain) của macOS, ví tiền mã hóa cũng như các tệp khóa dành cho nhà phát triển (ví dụ: tệp .env), đồng thời tích hợp khả năng phát hiện môi trường sandbox và trì hoãn thực thi nhằm tránh bị theo dõi.
