Infinity Stealer: nuevo info‑stealer para macOS distribuido con señuelos «ClickFix» y ejecutables Nuitka

Resumen técnico

Investigadores han identificado una nueva familia de info‑stealer denominada Infinity Stealer que apunta a sistemas macOS. La pieza maliciosa principal es un payload escrito en Python y empaquetado como ejecutable nativo usando el compilador de código abierto Nuitka. La campaña utiliza señuelos relacionados con «ClickFix» para inducir a las víctimas a descargar y ejecutar el binario.

Qué sabemos y por qué importa

Infinity Stealer encarna tendencias observadas en los últimos años: el traslado de técnicas tradicionalmente dominantes en Windows hacia macOS, y el uso de lenguajes de alto nivel como Python transformados en ejecutables nativos para dificultar tanto la detección como el análisis. Aunque macOS históricamente ha sido menos objetivo que Windows, su mayor adopción en entornos empresariales y personales ha incrementado el interés de los atacantes en la plataforma.

Información robada por este tipo de malware suele usarse para acceso no autorizado a cuentas, fraude financiero, compromisos adicionales de red y venta en mercados ilícitos. Por tanto, un info‑stealer funcional en macOS representa un riesgo directo para credenciales, accesos a servicios en la nube y activos digitales de las víctimas.

Contexto y antecedentes

• Transición de técnicas: Familias de infostealers y frameworks de robo de credenciales (históricamente muy presentes en Windows) han mostrado variantes o iniciativas para ser multiplataforma. Atacantes buscan reutilizar código y metodologías exitosas en nuevos objetivos.
• Uso de Python y Nuitka: Compilar código Python con Nuitka produce ejecutables nativos que complican la inspección estática tradicional y exigen análisis dinámico y reversión más profundos. Nuitka no es inherentemente malicioso, pero su empleo por actores maliciosos es relevante desde el punto de vista de detección y respuesta.
• Evolución en macOS: En años recientes se han observado familias que aprovechaban vulnerabilidades, abusaban de mecanismos de notificación social (falsos instaladores, actualizadores) y explotaban carencias de configuración para persistir y exfiltrar datos en macOS.

Análisis para profesionales de seguridad

Para analistas y equipos de respuesta, Infinity Stealer plantea varios retos y puntos de atención:

• Ofuscación y empaquetado: El uso de Nuitka crea binarios que contienen código nativo y objetos Python embebidos o empaquetados, lo que dificulta encontrar cadenas claras, estructuras típicas de scripts o puntos de entrada de ejecución evidentes mediante análisis estático.
• Desempaquetado en tiempo de ejecución: Es probable que el payload se desempaquete o reconstruya en memoria durante la ejecución. El análisis dinámico en un entorno controlado (sandboxing con instrumentación) será necesario para observar comportamiento real y comunicaciones de red.
• Telemetría y detección: Las firmas estáticas pueden quedarse cortas; conviene priorizar telemetría de comportamiento (creación de procesos, accesos a Keychain/TCC, lecturas de perfiles de navegador, conexiones salientes inusuales) y correlación de eventos en EDR/siem.
• Recolección de artefactos: Si el malware sigue a patrones comunes de info‑stealers, buscará credenciales de navegador, cookies, extensiones de monederos criptográficos y ficheros de configuración. La inspección de binarios en memoria y las capturas de tráfico cifrado (cuando sea legal y factible) ayudan a identificar exfiltración.

Casos comparables y tendencias

Si bien no todos los detalles de Infinity Stealer están disponibles públicamente, la aparición de esta campaña se enmarca en varias tendencias conocidas:

• Aumento de amenazas para macOS: En los últimos años han surgido familias y campañas que afectan específicamente a macOS, desde adware y troyanos hasta herramientas más sofisticadas destinadas a eludir protecciones como Gatekeeper o la verificación de notary.
• Herramientas multiplataforma y reutilización de código: Actores maliciosos reutilizan componentes y metodologías entre sistemas operativos, adaptando stub‑loaders y componentes de exfiltración.
• Compiladores y builders legítimos adoptados por ofensiva: El uso de herramientas legítimas (p. ej. PyInstaller, Nuitka u otras) para generar ejecutables facilita la creación de payloads que parecen binarios nativos y reduce la dependencia de descubrimiento de intérpretes instalados en el equipo de la víctima.

Riesgos e implicaciones

Un info‑stealer eficaz en macOS puede tener consecuencias significativas:

• Exposición de credenciales: Contraseñas y tokens usados para servicios corporativos, correos o repositorios de código pueden permitir accesos posteriores y movimientos laterales.
• Compromiso de cuentas de alto valor: Cookies y sesiones persistentes pueden dar acceso a cuentas sin necesidad de credenciales directas, facilitando fraude o robo de datos.
• Pérdida de propiedad intelectual y datos sensibles: Archivos y configuraciones locales pueden ser extraídos y filtrados o vendidos.
• Impacto reputacional y operativo: En organizaciones, la exposición de credenciales puede derivar en interrupciones operativas, respuesta forense costosa y daño de confianza con clientes y socios.

Recomendaciones prácticas y medidas de mitigación

A continuación, acciones priorizadas para reducir riesgo y mejorar la detección y respuesta ante campañas como la de Infinity Stealer:

• Mantener sistemas actualizados: Aplicar las últimas actualizaciones de macOS y parches de seguridad para limitar vectores de explotación conocidos.
• Control de ejecución: Habilitar y reforzar Gatekeeper y notarización, restringir la ejecución de aplicaciones a las procedentes de desarrolladores identificados y, cuando sea posible, usar políticas MDM para bloquear binarios no gestionados.
• Educación y phishing: Formar a usuarios para que desconfíen de descargas y enlaces no solicitados, especialmente si provienen de páginas o instaladores que prometen «fixes» o herramientas de reparación (como señuelos tipo ClickFix).
• EDR y telemetría: Desplegar soluciones de detección y respuesta que monitoricen comportamiento (accesos a Keychain, intentos de lectura de archivos de navegador, spawn de procesos inusuales) y correlacionen eventos para alertar de posibles info‑stealers.
• Seguridad de credenciales: Forzar MFA/2FA en accesos críticos y rotar credenciales sospechosas inmediatamente tras un incidente. Limitar almacenamiento de secretos en locaciones no protegidas.
• Gestión de permisos: Revisar permisos TCC (Transparencia, Consentimiento y Control) para minimizar aplicaciones con acceso excesivo a datos sensibles.
• Prácticas forenses: En caso de infección sospechada, preservar imágenes de memoria y registros de red; el análisis en memoria suele revelar artefactos que no aparecen en disco cuando Nuitka u otros empaquetadores han sido usados.
• Segmentación y principio de menor privilegio: Limitar el acceso de estaciones de trabajo a recursos críticos para dificultar la escalada y el movimiento lateral.

Conclusión

Infinity Stealer confirma que los autores de malware continúan adaptando técnicas y herramientas —como compilar Python con Nuitka— para apuntar a macOS y evadir controles tradicionales. Para organizaciones y administradores esto implica priorizar controles basados en comportamiento, reforzar políticas de ejecución y credenciales, y mejorar la capacidad de análisis dinámico y forense en memoria. La combinación de prevención técnica, telemetría adecuada y concienciación del usuario sigue siendo la defensa más efectiva para mitigar el riesgo de infostealers en macOS.

Source: www.bleepingcomputer.com