GoPlus：Infiniti Stealer 通過”ClickFix”攻擊竊取 Mac 加密資產

攻擊過程分析

Infiniti Stealer 惡意軟體透過「ClickFix」社會工程學攻擊，誘導 Mac 使用者在終端（Terminal）中手動貼入並執行惡意指令。攻擊鏈路如下：

• 誘導欺騙：偽造 Cloudflare CAPTCHA 頁面，誘導使用者自行於 Terminal 中貼入並執行惡意命令。
• 首階段載荷：移除 macOS 隔離屬性，將二階段載荷寫入 /tmp，並在後臺靜默運行。
• 最終載荷：使用 Nuitka 編譯的 Python 竊密程序，以提升逃避檢測能力。

竊取內容與特性

該惡意軟體可竊取以下敏感資料：

• Chromium/Firefox 瀏覽器憑證
• macOS Keychain 側邊憑證
• 加密錢包資料
• 開發者 .env 檔案

具備沙箱檢測與延時執行等隱蔽特性，以避免被安全軟體偵測。

安全建議

GoPlus 建議用戶：

• 避免點擊不明連結。
• 不安裝未驗證的軟體。
• 若懷疑設備遭入侵，應立即停用設備，並在乾淨設備上重新設定關鍵憑證。

來源：https://www.panewslab.com/zh/articles/019d3e51-34e9-7681-80e8-6dcb8fa71679