Un nouveau malware, baptisé Infinity Stealer, s’attaque aux systèmes macOS avec un code malveillant écrit en Python et transformé en fichier exécutable grâce à l’outil open-source Nuitka.
L’attaque utilise une méthode particulière, nommée ClickFix. Elle présente aux utilisateurs une page imitant le test de vérification humaine de Cloudflare, sous forme d’un CAPTCHA factice, pour les inciter à exécuter une commande malveillante.
Les experts de Malwarebytes soulignent qu’il s’agit de la première campagne sur macOS documentée qui combine cette méthode ClickFix avec un stealer Python compilé avec Nuitka.
Nuitka est un compilateur qui transforme un script Python en code C, puis produit un binaire natif. Ce processus rend l’exécutable résistant aux analyses statiques classiques, contrairement aux outils comme PyInstaller qui emballent simplement l’interpréteur Python et le bytecode.
La chaîne d’attaque
La campagne commence sur le domaine update-check[.]com. Une page trompeuse invite l’utilisateur à passer une vérification, lui demandant de copier et coller une commande curl obfusquée en base64 dans le Terminal macOS.
Cette commande décode un script Bash qui écrit le loader de la deuxième étape dans le dossier /tmp. Le script supprime le drapeau de quarantaine Apple, puis exécute le loader avec la commande ‘nohup’. Il transmet également les paramètres de commande (serveur C2 et token) via des variables d’environnement avant de se supprimer et fermer la fenêtre du Terminal.
Ce loader, un binaire Mach-O de 8.6 MB, contient une archive compressée de 35 MB. Cette archive contient le malware final : UpdateHelper.bin, c’est-à-dire Infinity Stealer.
Avant de débuter ses opérations de collecte, l’infostealer effectue des vérifications pour détecter si il fonctionne dans un environnement virtualisé ou sandboxé.
La version analysée, codée en Python 3.11, peut capturer des écrans et récupérer diverses données sensibles.
Il s’agit notamment des identifiants stockés dans les navigateurs basés sur Chromium et Firefox, des entrées du Keychain macOS, des portefeuilles de cryptomonnaies, ainsi des secrets en texte brut présents dans les fichiers de développement comme les fichiers .env.
Toutes les données exfiltrées sont envoyées au serveur de commande via des requêtes HTTP POST. Une notification est également transmise aux pirates sur Telegram lorsque l’opération est terminée.
La présence d’un malware comme Infinity Stealer montre que les menaces pesant sur les utilisateurs macOS deviennent plus sophistiquées. Les experts rappellent aux utilisateurs une règle fondamentale : ne jamais copier dans le Terminal une commande trouvée en ligne dont ils ne comprennent pas le fonctionnement.