🚨 Alerta de Seguridad GoPlus: Infiniti Stealer apunta a las billeteras cripto de usuarios de Mac

Infiniti Stealer utiliza un ataque de ingeniería social "ClickFix" para engañar a los usuarios a instalar código malicioso, exfiltrando silenciosamente billeteras cripto, credenciales sensibles y activos digitales.

🔍 Desglose de la Cadena de Ataque:
1️⃣ Cebo ClickFix: Los atacantes suplantan una página CAPTCHA de Cloudflare altamente convincente, incitando a los usuarios a abrir Terminal y pegar & ejecutar comandos maliciosos manualmente.
2️⃣ Bash dropper: Una vez ejecutado, el comando obtiene un script de Etapa-1 que elimina atributos de cuarentena de macOS (https://t.co/f7MY8D29PD.quarantine), escribe la carga útil de Etapa-2 en /tmp, y la ejecuta silenciosamente en segundo plano.
3️⃣ Evasión de Nuitka: La carga útil final es un ladrón de Python compilado a través de Nuitka en un binario nativo de macOS, aumentando significativamente la dificultad de detección para herramientas de seguridad y analistas.

☠️ Impacto & Capacidades de Sigilo:
Una vez desplegado, Infiniti Stealer cosecha encubiertamente:
🔑 Credenciales de Chromium / Firefox + llavero de macOS
💰 Billeteras cripto
📁 Secretos de desarrolladores (por ejemplo, archivos .env)
También cuenta con detección de sandbox y ejecución retrasada para mejorar el sigilo.

🛡️ Mejores Prácticas de Seguridad #Goplus:
1️⃣ Sigue los "4 No Hacer" de #GoPlus contra el phishing: No hagas clic, no instales, no firmes, no transfieras
• No hagas clic en enlaces desconocidos
• No instales software no verificado
• No firmes transacciones sospechosas de billetera
• No envíes fondos a direcciones no verificadas
2️⃣ Contención inmediata: Si se sospecha compromiso, deja de usar el dispositivo para actividades sensibles (banca, trabajo, operaciones de billetera).
3️⃣ Reinicio de credenciales: En un dispositivo limpio, rota inmediatamente las contraseñas críticas y revoca tokens API activos, claves SSH y sesiones de inicio.
4️⃣ Inspección del sistema: Verifica archivos de persistencia sospechosos en /tmp y ~/Library/LaunchAgents/, y realiza un escaneo antivirus completo (por ejemplo, AVG).

Más detalles: