Heb je een Mac? Let op met Captcha-melding die gegevens steelt
Malwarebytes ontdekte tijdens routinecontroles een nieuwe ClickFix-methode om gegevens te stelen. Onder de naam Infiniti Stealer verspreiden de aanvallers een valse Captcha-melding die gedupeerden overhaalt om commando’s uit te voeren. Op die manier haal je de malware binnen die jouw gegevens steelt.
De normale Captcha-pagina’s van Cloudflare zijn bedoeld om te checken of je geen robot bent. Deze namaakversie lijkt er sterk op maar is eigenlijk een ClickFix. Infiniti Stealer misbruikt dus geen beveiligingslek, maar leidt zijn slachtoffers om de tuin.
De payload blijkt geschreven te zijn in Python en samengesteld met Nuitka. Zo maken de aanvallers een macOS-uitvoeringsbestand. Dat is blijkbaar moeilijker te detecteren.
Zelf code uitvoeren
De Captcha-melding komt tevoorschijn op geïnfecteerde of malafide webpagina’s of advertenties. Daar moet je een zogenaamde verificatie ondergaan. Normaal is dat een hokje aanvinken, of in andere gevallen bepaalde zaken herkennen in meestal wazige foto’s. Hier is dat een instructie om een commando in Terminal in te geven. Dat commando moet je kopiëren en dan in Terminal plakken.
Deze ClickFix-techniek zagen we al eerder voor Windows, maar nu maakt hij ook de oversteek naar macOS. Eens het commando is uitgevoerd, start de infectie meteen. De traditionele beveiligingsmechanismen zijn namelijk allemaal omzeild door de gebruiker het vuile werk te laten doen.
De code leidt naar een URL die een eerste script laat lopen. Zo krijg je het installatiebestand binnen die de laatste malwarecode activeert. Dat is de Python 3.11-infostealer, een bin-bestand met de naam UpdateHelper. Die is erop gericht om tal van gevoelige gegevens te stelen. Denk aan inloggegevens van Chrome en Firefox, de inlogsleutelhanger, cryptoportefeuilles, ontwikkelaarsbestanden zoals .env, en screenshots.
Om detectiemethodes te omzeilen, checkt de malware of het aan het draaien is binnen een geïsoleerde omgeving, zoals een sandbox. Er zit eveneens een willekeurige vertraging op om automatische zoeksystemen beet te nemen. Als de diefstal compleet is, krijgt de aanvaller een berichtje.
Slachtoffer geworden?
Deze ClickFix-techniek toont duidelijk aan dat je je niet zomaar veilig mag wanen omdat je een mac en geen Windows-pc gebruikt. Vermoed je dat je slachtoffer bent geworden, stop dan in elk geval met het uitvoeren van gevoelige taken, zoals banktransacties. Uitloggen uit alle actieve sessies van apps en sites is eveneens belangrijk. Paswoorden veranderen doe je pas op een niet-aangevallen toestel.
Trouwens, het loont om het jongste besturingssysteem te installeren. Het onlangs gelanceerde macOS Tahoe 26.4 blokkeert dergelijke gevaarlijke acties in Terminal, meldt Apple Insider. Je krijgt een waarschuwing te zien. Zo krijg je een extra beveiligingslaag tegen dergelijke malware. Wil je het lot toch tarten, dan krijg je alsnog de mogelijkheid om de code uit te voeren.
