Infiniti Stealer惡意軟體透過偽造的Cloudflare CAPTCHA頁面傳播,目標是macOS上的加密貨幣資產和敏感數據,預計到2025年,背景產業的損失將達到34億鎂。
來自Malwarebytes的安全研究人員剛剛發現了一項針對 macOS 上加密資產用戶的新攻擊活動,該活動使用模仿 Cloudflare 驗證介面的仿盤CAPTCHA 頁面來分發名為 Infiniti Stealer 的數據竊取軟體。
這次攻擊活動令人擔憂之處在於其感染機制:攻擊者不是挖礦系統漏洞,而是誘騙用戶自行執行惡意命令,這種技術稱為 ClickFix,在 Windows 系統中很常見,但目前正被用於攻擊蘋果生態系統。
macOS 已不再是抵禦竊取加密資產的惡意軟體的安全區。
這次攻擊過程經過精心設計,旨在繞過傳統防禦措施。使用者造訪一個網域名稱偽裝成更新檢查服務的網站,該網站會顯示一個與 Cloudflare 完全相同的驗證碼介面。點擊確認後,頁面會要求使用者打開終端機並貼上一條命令,這被當作標準的驗證步驟。
這條指令本質上是一個隱藏的安裝腳本,它會連接到遠端控制伺服器,下載並部署 Infiniti Stealer 惡意軟體,且不會顯示任何警告。該惡意軟體被編譯到 macOS 原生二進位檔案中,而非易於閱讀的腳本中,這使得分析和檢測變得更加困難。
入侵成功後,Infiniti Stealer 會提取加密貨幣資產數據、瀏覽器登入憑證、macOS 鑰匙圈數據、開發者文字檔案以及執行過程中截取的螢幕截圖。該惡意軟體還集成了檢測分析環境的機制以避免被檢測到,並在提取完成後透過 Telegram 發送通知,並將收集到的登入憑證添加到伺服器端的密碼破解佇列中。
這並非個案。去年三月,一款名為 GhostClaw 的惡意軟體透過流行的 JavaScript 套件管理器 npm 傳播,偽裝成名為 OpenClaw 的合法工具,發起多階段攻擊以竊取私鑰和錢包存取權。在 178 位開發者下載後,該惡意軟體被移除。
更廣闊的視角揭示了這一趨勢的嚴重性:根據 Chainalysis 的數據,個人錢包洩漏事件佔被盜總金額的比例從 2022 年的 7.3%上漲2024 年的 44%,而 2025 年整個行業的損失總額將達到 34 億鎂。
對於 macOS 用戶來說,最簡單的建議做法是絕對不要從任何未經驗證的來源將命令貼上到終端中。
