Sobald das Opfer den Befehl ausführt, lädt es ein Bash-Skript von einem entfernten Server. Dieses Skript dekodiert eine eingebettete Nutzlast, schreibt die Binärdatei der zweiten Stufe in einen temporären Ordner, entfernt deren Quarantäne-Markierung und führt sie aus. Zusätzlich übergibt das Skript die Adresse des Command-and-Control-Servers (C&C) sowie Authentifizierungs-Token als Umgebungsvariablen, löscht sich anschließend selbst und schließt das Terminal.

Bei der abgelegten Binärdatei handelt es sich um einen Loader, der mit dem Compiler Nuitka erstellt wurde. Nuitka übersetzt Python-Code in eine native Binärdatei und erschwert damit die statische Analyse. Zur Laufzeit entpackt der Loader eingebettete Daten und startet die finale Nutzlast — den Infiniti Stealer.

Der Infostealer hat es auf Browser-Zugangsdaten, Informationen aus dem Schlüsselbund (Keychain), Kryptowährungs-Wallets, in Entwicklerdateien gespeicherte Geheimnisse sowie während der Ausführung erstellte Bildschirmfotos abgesehen. Die gesammelten Daten werden per HTTP-POST-Anfragen an den C&C-Server übertragen. Ist der Vorgang abgeschlossen, schickt die Schadsoftware eine Benachrichtigung an einen Telegram-Kanal und reiht die erbeuteten Zugangsdaten zur serverseitigen Entschlüsselung ein.

Um einer Analyse zu entgehen, setzt Infiniti Stealer auf eine zufällig verzögerte Ausführung und prüft, ob es sich beim System um eine bekannte Analyseumgebung handelt.

„Infiniti Stealer zeigt, wie Techniken, die unter Windows funktioniert haben — etwa ClickFix —, nun für Angriffe auf Mac-Nutzer angepasst werden. Hinzu kommen neuere Methoden wie das Kompilieren von Python in native Apps, was die Schadsoftware schwerer erkennbar und analysierbar macht. Sollte sich dieser Ansatz als wirksam erweisen, könnten weitere Angriffe dieser Art folgen“, so Malwarebytes.