MalwareHackerangriffeDatenschutz

Infinity Stealer: Neue macOS-Malware nutzt gefälschte Cloudflare-CAPTCHA zur Datendiebstahl

Infinity Stealer: Neue macOS-Malware nutzt gefälschte Cloudflare-CAPTCHA zur Datendiebstahl
Zusammenfassung

Sicherheitsforscher haben eine neue Malware namens Infinity Stealer entdeckt, die gezielt macOS-Systeme attackiert. Die Schadsoftware nutzt die sogenannte ClickFix-Technik, bei der Nutzer durch gefälschte Captcha-Überprüfungen, die dem Cloudflare-Sicherheitscheck ähneln, dazu verleitet werden, bösartigen Code auszuführen. Das Besondere an diesem Angriff ist die Verwendung des Nuitka-Compilers, der Python-Code in native Binärdateien umwandelt und damit deutlich schwerer zu analysieren ist als typische Python-basierte Malware. Dies ist das erste dokumentierte macOS-Campaign, die ClickFix-Lures mit einem Nuitka-kompilierten Infostealer kombiniert. Die Attacke beginnt mit einer täuschend echten Verifizierungsseite, auf der Nutzer aufgefordert werden, einen verschleiyerten Bash-Befehl ins Terminal zu kopieren. Einmal ausgeführt, installiert dieser mehrstufig die Infinity Stealer-Malware, die Screenshots anfertigt und sensible Daten wie Passwörter, Browser-Cookies und Kryptowallet-Informationen stiehlt. Für deutsche macOS-Nutzer und Unternehmen stellt diese Malware eine erhebliche Bedrohung dar, da sie professionell entwickelt und schwer zu erkennen ist. Besonders kritisch ist, dass sie speziell auf macOS ausgerichtet ist – ein System, das lange als relativ sicher galt. Nutzer sollten daher niemals unbekannte Befehle ins Terminal kopieren und regelmäßig ihre Systeme aktualisieren.

Die Infinity Stealer-Malware beginnt ihre Angriffskette mit einer ClickFix-Lure auf der Domain update-check[.]com. Sie imitiert eine Sicherheitsverifizierung von Cloudflare und fordert Nutzer auf, einen base64-verschleier­ten curl-Befehl in das macOS-Terminal einzufügen. Dieser Ansatz ist perfide, weil er die Nutzer selbst dazu bringt, die Schutzmehanismen des Betriebssystems zu umgehen.

Einmal ausgefübrt, dekodiert der Befehl ein Bash-Skript, das die zweite Stufe lädt – einen 8,6 MB großen Nuitka-Loader. Dieser ist eine native Mach-O-Binärdatei, die ein 35 MB großes zstd-komprimiertes Archiv enthält. Darin verborgen sitzt die eigentliche Infinity Stealer-Malware als “UpdateHelper.bin”. Das System entfernt automatisch Quarantäne-Flags und löscht anschließend seine Spuren – ein durchdachtes Verfahren zur Vermeidung von Erkennung.

Das Nuitka-Kompilierungsverfahren ist ein Schlüsselelement dieser Malware. Im Gegensatz zu PyInstaller, das Python mit Bytecode bündelt, erzeugt Nuitka eine echte Native-Binärdatei. Sie wird aus Python-Code in C-Code kompiliert, was die statische Analyse deutlich erschwert. Sicherheitsforscher finden keine offensichtliche Bytecode-Ebene vor – Reverse Engineering wird dadurch erheblich aufwändiger.

Bevor die Malware Daten stiehlt, führt sie Anti-Analyse-Checks durch, um zu erkennen, ob sie in einer virtualisierten oder Sandbox-Umgebung läuft. Hat sie grünes Licht, beginnt sie ihre Arbeit: Screenshots, Passwörter, Browserdaten, Kryptowallet-Informationen und weitere sensitive Daten werden zusammengetragen. Alle erbeuteten Informationen werden via HTTP POST an Command-and-Control-Server übertragen. Zusätzlich erhalten die Angreifer eine Benachrichtigung über Telegram, wenn der Datenraub abgeschlossen ist.

Malwarebytes warnt, dass diese Entwicklung symptomatisch für einen besorgniserregenden Trend ist: macOS-Systeme werden zunehmend zum Ziel hochprofessioneller Cyberkrimineller. Nutzer sollten niemals Befehle ins Terminal kopieren und ausführen, deren Zweck sie nicht vollständig verstehen. Die gefälschten Verifizierungsseiten werden immer überzeugender – Vorsicht ist geboten.

Ähnliche Artikel