MalwareCyberkriminalitätPhishing

ClickFix-Angriff auf macOS: Cloudflare-Fälschung verteilt Infiniti-Stealer

ClickFix-Angriff auf macOS: Cloudflare-Fälschung verteilt Infiniti-Stealer
Zusammenfassung

Eine neue Variante der ClickFix-Angriffe bedroht nun erstmals verstärkt Mac-Nutzer: Cyberkriminelle nutzen gefälschte Cloudflare-Verifizierungsseiten, um Benutzer dazu zu verleiten, schädliche Befehle in das Terminal einzugeben. Die Attacke setzt auf eine ausgefeilte soziale Manipulationstechnik, die Windows-Nutzer bereits seit August 2024 im Visier hat und nun auch für macOS optimiert wurde. Wurde das Opfer zum Ausführen des vermeintlichen Verifizierungsbefehls verleitet, wird die Python-basierte Malware „Infiniti Stealer" auf dem System installiert. Diese stiehlt sensible Daten wie Browser-Passwörter, Keychain-Informationen, Kryptowallet-Zugänge und Entwicklungssekrete, bevor sie die Daten an Kriminelle übermittelt. Besonders besorgniserregend ist die Verwendung des Nuitka-Compilers, der Python-Code in native Binärdateien umwandelt und damit Sicherheitsanalysen erschwert. Für deutsche Mac-Nutzer, kleinere Unternehmen und Organisationen stellt diese Kampagne ein erhebliches Risiko dar, da die täuschend echten Cloudflare-Seiten leicht für legitim gehalten werden können. Der Angriff verdeutlicht, wie Hacker bewährte Windows-Techniken zunehmend auf Apple-Systeme adaptieren und dabei moderne Verschleierungstechniken einsetzen.

Die Bedrohungslandschaft für macOS-Nutzer verschärft sich zusehends: Cyberkriminelle adaptieren erfolgreich bewährte Windows-Angriffsme­thoden auf Apples Betriebssystem. Das zeigt eine aktuelle Analyse von Malwarebytes, die eine raffinierten ClickFix-Kampagne offenlegt, die speziell auf Mac-Anwender ausgerichtet ist.

Die Angriffskettestartet klassisch mit sozialer Manipulation. Nutzer landen auf einer gefälschten Cloudflare-Verifizierungsseite, die täuschend echt wirkt und sie auffordert, einen Befehl im Terminal auszuführen. Die Angreifer instrui­eren die Opfer detailliert, wie sie vorgehen müssen – ein bewährtes Mittel, um die natürliche Skepsis zu überwinden.

Sobald der Befehl ausgeführt wird, entfaltet sich eine mehrstufige Infektionskette: Ein Bash-Skript wird von einem Remote-Server geladen, das eine versteckte Payload dekodiert und ein zweites Binärprogramm in ein temporäres Verzeichnis schreibt. Das System wird manipuliert, um Quarantäne-Flaggen zu entfernen und die Malware auszuführen. Bemerkenswert ist, dass sich das Skript danach selbst löscht und das Terminal schließt – eine Taktik, um Spuren zu verwischen.

Das eigentliche Schadprogramm ist ein Loader, der mit Nuitka kompiliert wurde. Dieser Python-zu-Native-Code-Compiler macht statische Analyse erheblich schwieriger und ist ein gutes Beispiel dafür, wie Cyberkriminelle ihre Techniken fortlaufend verbessern. Der Loader entpackt schließlich die finale Payload: den Infiniti Stealer.

Infiniti Stealer ist eine Python-basierte Spyware mit beeindruckenden Fähigkeiten: Sie zielt auf Browser-Anmeldedaten, Keychain-Informationen, Kryptowallet-Zugänge, API-Schlüssel in Entwickler-Dateien und Screenshots ab. Die gestohlenen Daten werden über HTTP POST an Command-and-Control-Server übertragen, anschließend via Telegram benachrichtigt und zur Offline-Entschlüsselung vorbereitet.

Um Analyse zu erschweren, nutzt die Malware randomisierte Verzögerungen bei der Ausführung und prüft, ob das System eine bekannte Sandbox oder Analyse-Umgebung ist.

Für deutsche Unternehmen und Privatnutzer ist diese Entwicklung relevant: Mac-Nutzer könnten sich in falscher Sicherheit wiegen, da Malware-Warnungen oft Windows-fokussiert sind. Besonders Entwickler und Fachkräfte mit Zugriff auf sensible Daten müssen vorsichtig sein, da der Stealer gezielt nach Secrets in Code-Repositories und Konfigurationsdateien sucht. Experten warnen, dass falls diese Methode sich als wirksam erweist, weitere macOS-Varianten folgen könnten.

Ähnliche Artikel