Der Angriff beginnt mit einem ClickFix-Köder auf der Domain update-check[.]com. Die Seite gibt sich als Verifizierungsschritt von Cloudflare aus und fordert den Nutzer auf, die vermeintliche Prüfung abzuschließen, indem er einen base64-verschleierten curl-Befehl in das macOS-Terminal einfügt. Auf diesem Weg werden Schutzmechanismen des Betriebssystems umgangen.

Der Befehl entschlüsselt ein Bash-Skript, das die zweite Stufe – den Nuitka-Loader – nach /tmp schreibt. Anschließend entfernt es die Quarantäne-Markierung, führt die Datei über ’nohup’ aus und übergibt die Adresse des Command-and-Control-Servers (C2) sowie ein Token über Umgebungsvariablen. Zum Schluss löscht sich das Skript selbst und schließt das Terminal-Fenster.

Beim Nuitka-Loader handelt es sich um eine 8,6 MB große Mach-O-Binärdatei, die ein 35 MB großes, mit zstd komprimiertes Archiv enthält. Darin steckt die dritte Stufe (UpdateHelper.bin) – die eigentliche Infinity-Stealer-Malware.

Bevor die Schadsoftware mit dem Sammeln sensibler Daten beginnt, führt sie Anti-Analyse-Prüfungen durch, um festzustellen, ob sie in einer virtualisierten oder Sandbox-Umgebung läuft. Die Analyse der Python-3.11-Nutzlast durch Malwarebytes ergab, dass der Infostealer Bildschirmfotos anfertigen und weitere Daten abgreifen kann.

Sämtliche gestohlenen Daten werden über HTTP-POST-Anfragen an den C2-Server übertragen. Nach Abschluss des Vorgangs erhalten die Angreifer eine Benachrichtigung über Telegram.

Malwarebytes betont, dass das Auftauchen von Schadsoftware wie Infinity Stealer belegt, dass die Bedrohungen für macOS-Nutzer zunehmend ausgefeilter und gezielter werden. Nutzer sollten niemals Befehle aus dem Internet in das Terminal einfügen, die sie nicht vollständig verstehen.