✨︎ Resumen (TL;DR):
- Infiniti Stealer engaña a usuarios de Mac simulando páginas de verificación de Cloudflare para ejecutar código malicioso.
- El ataque instala un binario nativo de 8.6 MB capaz de evadir las protecciones de seguridad de Apple.
- La amenaza extrae contraseñas, archivos de billeteras de criptomonedas y datos del Keychain enviándolos por Telegram.
Infiniti Stealer es un malware para macOS que utiliza ingeniería social para robar datos confidenciales. La firma de ciberseguridad Malwarebytes descubrió esta amenaza que ataca a los usuarios de Mac a través de réplicas convincentes de las páginas de verificación humana de Cloudflare.
La infección inicia cuando la víctima entra a un dominio malicioso que simula ser un CAPTCHA estándar. En lugar de explotar una vulnerabilidad de software, la página pide al usuario que abra la aplicación Terminal de macOS y pegue un supuesto comando de verificación.
Al ejecutar la instrucción, se activa una cadena de infección de múltiples etapas. El ataque utiliza la técnica de ingeniería social ClickFix combinada con un payload en Python, el cual está compilado en un binario nativo mediante el framework Nuitka. Esto hace que la amenaza sea más difícil de detectar que los scripts tradicionales.
El engaño del ClickFix y el bypass de Gatekeeper
La primera etapa del ataque es un script bash que decodifica un payload oculto y escribe un binario de segunda etapa en el directorio temporal del sistema. Este proceso elimina las etiquetas de cuarentena de macOS para saltarse las protecciones de Gatekeeper y luego se autodestruye.
El segundo paso ejecuta un binario nativo para Apple Silicon de 8.6 megabytes. Este archivo descomprime cerca de 35 megabytes de datos integrados antes de lanzar la carga final del malware.
Originalmente, los investigadores de Malwarebytes llamaron a esta amenaza NukeChain. Sin embargo, descubrieron su nombre real cuando el panel de comando del operador, alojado en Infiniti-stealer[.]com, quedó visible públicamente.
El objetivo de este malware es extraer información crítica del equipo:
- Credenciales de navegadores basados en Chromium y Firefox.
- Entradas almacenadas en el Keychain de macOS.
- Archivos de billeteras de criptomonedas.
- Secretos en texto plano dentro de archivos de entorno de desarrollo (.env).
- Capturas de pantalla tomadas durante la ejecución.
El sistema envía los datos robados mediante solicitudes HTTP POST y notifica al atacante vía Telegram cuando termina el proceso. Incluso, el malware pone en cola las credenciales capturadas para descifrar las contraseñas en sus propios servidores.
Además, la herramienta maliciosa verifica si se está ejecutando dentro de sandboxes de análisis conocidos, como Any.Run, Joe Sandbox y VMware, e introduce retrasos aleatorios en su ejecución para evadir los sistemas de detección automática.
Una tendencia de ataques contra Mac y Windows
Infiniti Stealer forma parte de una ola reciente de ataques ClickFix dirigidos a usuarios de Apple. A principios de mes, Sophos y The Hacker News reportaron tres campañas distintas que distribuían otro malware llamado MacSync mediante descargas falsas de aplicaciones de IA. Sophos rastreó más de 50,000 clics en estos enlaces engañosos.
Por su parte, la firma Rapid7 detectó más de 250 sitios web de WordPress comprometidos, los cuales inyectan indicaciones falsas de verificación de Cloudflare para distribuir malware en equipos con Windows.
Ante el incremento de estos ataques, los investigadores de Malwarebytes fueron contundentes: “Ningún CAPTCHA legítimo requiere esto”.
La recomendación inmediata para cualquier usuario que haya pegado comandos en su Terminal desde un sitio web es cambiar sus contraseñas desde un dispositivo limpio, revocar tokens de API y claves SSH, y ejecutar un escaneo completo de malware.
