🚨 GoPlus 安全警報:Infiniti Stealer 目標是 Mac 用戶的加密錢包
Infiniti Stealer 利用“ClickFix”社交工程攻擊來欺騙用戶安裝惡意代碼,悄悄提取加密錢包、敏感憑據和數字資產。
🔍 攻擊鏈分析:
1️⃣ ClickFix 誘餌:攻擊者僞裝成一個非常逼真的 Cloudflare CAPTCHA 頁面,提示用戶打開終端並手動粘貼並執行惡意命令。
2️⃣ Bash 安裝程序:一旦執行,該命令會獲取一個 Stage-1 腳本,該腳本會移除 macOS 隔離屬性(https://t.co/f7MY8D29PD.quarantine),將 Stage-2 有效負載寫入 /tmp 中,並在後臺靜默運行。
3️⃣ Nuitka 規避:最終有效負載是一個通過 Nuitka 編譯成原生 macOS 二進制文件的 Python 盜竊工具,顯著增加了安全工具和分析師的檢測難度。
☠️ 影響與隱匿能力:
一旦部署,Infiniti Stealer 會祕密收集:
🔑 Chromium / Firefox 憑據 + macOS 鑰匙串
💰 加密錢包
📁 開發者祕密(例如 .env 文件)
它還具有沙箱檢測和延遲執行以增強隱匿性。
🛡️ #Goplus 安全最佳實踐:
1️⃣ 遵循 #GoPlus 反釣魚的“4 不要”原則:不要點擊,不要安裝,不要簽署,不要轉賬
• 不要點擊未知鏈接
• 不要安裝未經驗證的軟件
• 不要簽署可疑的錢包交易
• 不要向未經驗證的地址發送資金
2️⃣ 立即隔離:如果懷疑被攻擊,請停止使用該設備進行敏感活動(銀行、工作、錢包操作)。
3️⃣ 憑據重置:在乾淨的設備上,立即更換重要密碼並撤銷活動 API 令牌、SSH 密鑰和登錄會話。
4️⃣ 系統檢查:檢查 /tmp 和 ~/Library/LaunchAgents/ 中的可疑持久性文件,並進行全面的 antivirus 掃描(例如 AVG)。
更多細節:
Infiniti Stealer 利用“ClickFix”社交工程攻擊來欺騙用戶安裝惡意代碼,悄悄提取加密錢包、敏感憑據和數字資產。
🔍 攻擊鏈分析:
1️⃣ ClickFix 誘餌:攻擊者僞裝成一個非常逼真的 Cloudflare CAPTCHA 頁面,提示用戶打開終端並手動粘貼並執行惡意命令。
2️⃣ Bash 安裝程序:一旦執行,該命令會獲取一個 Stage-1 腳本,該腳本會移除 macOS 隔離屬性(https://t.co/f7MY8D29PD.quarantine),將 Stage-2 有效負載寫入 /tmp 中,並在後臺靜默運行。
3️⃣ Nuitka 規避:最終有效負載是一個通過 Nuitka 編譯成原生 macOS 二進制文件的 Python 盜竊工具,顯著增加了安全工具和分析師的檢測難度。
☠️ 影響與隱匿能力:
一旦部署,Infiniti Stealer 會祕密收集:
🔑 Chromium / Firefox 憑據 + macOS 鑰匙串
💰 加密錢包
📁 開發者祕密(例如 .env 文件)
它還具有沙箱檢測和延遲執行以增強隱匿性。
🛡️ #Goplus 安全最佳實踐:
1️⃣ 遵循 #GoPlus 反釣魚的“4 不要”原則:不要點擊,不要安裝,不要簽署,不要轉賬
• 不要點擊未知鏈接
• 不要安裝未經驗證的軟件
• 不要簽署可疑的錢包交易
• 不要向未經驗證的地址發送資金
2️⃣ 立即隔離:如果懷疑被攻擊,請停止使用該設備進行敏感活動(銀行、工作、錢包操作)。
3️⃣ 憑據重置:在乾淨的設備上,立即更換重要密碼並撤銷活動 API 令牌、SSH 密鑰和登錄會話。
4️⃣ 系統檢查:檢查 /tmp 和 ~/Library/LaunchAgents/ 中的可疑持久性文件,並進行全面的 antivirus 掃描(例如 AVG)。
更多細節: