# Infiniti Stealer > [!high] > **Infiniti Stealer** é um novo infostealer macOS descoberto em março de 2026 pelo Malwarebytes Labs. Combina engenharia social via **ClickFix** com payload Python compilado com **Nuitka** - técnica que dificulta análise estática por não conter bytecode Python. Rouba credenciais, Keychain, carteiras de cripto e arquivos `.env` de desenvolvedores. ## Visão Geral O Infiniti Stealer (também identificado como "NukeChain" durante a caça inicial, antes de seu nome real ser revelado por um painel do operador acidentalmente exposto públicamente) é um infostealer macOS descoberto pelo Malwarebytes Labs em março de 2026. É a primeira campanha macOS documentada que combina entrega via **ClickFix** com um payload Python compilado com **Nuitka** - um compilador Python-para-C que produz binários nativos sem bytecode, tornando análise estática e criação de assinaturas significativamente mais difíceis. A campanha tem alcance global e é oportunista: qualquer usuário macOS que acesse a página de isca pode ser infectado. Não há indicativos de alvo específico em [[brasil|Brasil]] ou [[latam|América Latina]] nas análises disponíveis. O malware é distribuído como Malware-as-a-Service (MaaS): o dropper Bash compartilha template com outros stealers macOS anteriores (MacSync/SHub), indicando infraestrutura de builder compartilhada no ecossistema de ameaças a macOS. ## Attack Flow ```mermaid graph TB A["🎯 ClickFix<br/>Página CAPTCHA falsa<br/>update-check.com"] --> B["💻 Usuário executa<br/>comando Terminal<br/>curl base64 obfuscado"] B --> C["📦 Stage 1 - Bash Dropper<br/>Remove quarantine flag<br/>via xattr"] C --> D["🔄 Stage 2 - Nuitka Loader<br/>Binário Mach-O Apple Silicon<br/>~8.6 MB, descomprime ~35 MB"] D --> E["🕵️ Stage 3 - UpdateHelper.bin<br/>Infiniti Stealer Python 3.11<br/>Anti-sandbox checks"] E --> F["💾 Coleta de Dados<br/>Keychain + Browsers<br/>Cripto + .env files"] F --> G["📡 Exfiltração HTTP POST<br/>update-check.com<br/>Notificação Telegram"] ``` **Legenda:** [[t1566-002-spearphishing-link|T1566.002]] · [[t1204-002-malicious-file|T1204.002]] · [[t1497-virtualization-sandbox-evasion|T1497]] · [[t1555-003-credentials-from-web-browsers|T1555.003]] · [[t1071-001-web-protocols|T1071.001]] ## Detalhes Técnicos ### Vetor de Infecção — ClickFix O ClickFix é uma técnica de engenharia social sem exploração de vulnerabilidades. A cadeia de infecção: 1. Vítima acessa `update-check[.]com` — réplica quase perfeita de verificação Cloudflare CAPTCHA 2. Página instrui o usuário a pressionar `Cmd+Space`, abrir Terminal, colar comando `curl` ofuscado em base64 e pressionar Enter 3. Comando executa dropper Bash que: - Decodifica payload Stage 2 - Remove flag de quarentena macOS (`xattr -dr com.apple.quarantine`) - Executa via `nohup` - Passa URL do C2 e token de autenticação como variáveis de ambiente - Se auto-deleta e fecha o Terminal via AppleScript ### Técnica de Evasão — Nuitka Diferente do PyInstaller (que embute bytecode Python interpretável), o **Nuitka** compila Python para C e produz binário nativo Mach-O. Isso significa: - Sem bytecode Python extraível - Binário visualmente indistinguível de software legítimo Apple Silicon - Assinaturas baseadas em bytecode Python são ineficazes - Análise estática requer reverse engineering de C compilado O header de assinatura do loader Nuitka: `4b 41 59 28 b5 2f fd` (KAY + zstd), que descomprime ~35 MB de dados embarcados. ### Dados Coletados - Credenciais (usuário/senha/cookies) de browsers Chromium e Firefox - Entradas do macOS Keychain - Carteiras de criptomoeda, seed phrases e chaves privadas - Arquivos `.env` de desenvolvedores (secrets, API keys) - Screenshots da tela durante execução - Informações do sistema (hardware, processos, interfaces de rede) - Histórico de navegação e dados de autopreenchimento ### Anti-Análise Verifica a presença de sandboxes antes de executar: any.run, Joe Sandbox, Hybrid Analysis, VMware, VirtualBox. Inclui delay de execução randomizado para evadir análise automática. ## Indicadores de Comprometimento > [!ioc]- IOCs - Infiniti Stealer (TLP:GREEN) > **MD5 (dropper):** > `da73e42d1f9746065f061a6e85e28f0c` > > **SHA256 (Stage 3):** > `1e63be724bf651bb17bcf181d11bacfabef6a6360dcdfda945d6389e80f2b958` > > **Domínios C2:** > `update-check[.]com` > `Infiniti-stealer[.]com` (painel do operador) > > **URL C2:** > `hxxps://update-check[.]com/m/7d8df27d95d9` > > **Artefatos no host:** > - `/tmp/.bs_debug.log` (log de debug) > - `/tmp/.2835b1b5098587a9XXXXXX` (prefixo fixo, sufixo aleatório) > > **Bytes de assinatura Nuitka:** > `4b 41 59 28 b5 2f fd` (header KAY + zstd) > > **Fontes:** [Malwarebytes Labs](https://www.malwarebytes.com/blog/threat-intel/2026/03/infiniti-stealer-a-new-macos-infostealer-using-clickfix-and-python-nuitka) · [BleepingComputer](https://www.bleepingcomputer.com/news/security/new-infinity-stealer-malware-grabs-macos-data-via-clickfix-lures/) ## TTPs Mapeados | Técnica | ID | Fase | |---------|-----|------| | Phishing com Link Malicioso | [[t1566-002-spearphishing-link\|T1566.002]] | Initial Access | | Execução por Usuário - Arquivo Malicioso | [[t1204-002-malicious-file\|T1204.002]] | Execution | | AppleScript | [[t1059-002-applescript\|T1059.002]] | Execution | | Evasão de Sandbox | [[t1497-virtualization-sandbox-evasion\|T1497]] | Defense Evasion | | Delay de Execução | [[t1497-003-time-based-checks\|T1497.003]] | Defense Evasion | | Credenciais de Browsers | [[t1555-003-credentials-from-web-browsers\|T1555.003]] | Credential Access | | Keychain macOS | [[t1555-credentials-from-password-stores\|T1555]] | Credential Access | | Captura de Tela | [[t1113-screen-capture\|T1113]] | Collection | | Deleção de Arquivos | [[t1070-004-file-deletion\|T1070.004]] | Defense Evasion | | Exfiltração via HTTP/S | [[t1071-001-web-protocols\|T1071.001]] | Exfiltration | ## Detecção - Monitorar execução de comandos `curl` com conteúdo base64 a partir do Terminal interativo - Alertar sobre uso de `xattr -dr com.apple.quarantine` seguido de execução - Detectar criação de arquivos em `/tmp/.bs_debug.log` ou `/tmp/.2835b1b5098587a9` - Bloquear domínio `update-check[.]com` em proxies e DNS corporativos - Monitorar acesso a arquivos Keychain por processos Python compilados ## Referências - [Malwarebytes - Infiniti Stealer Analysis](https://www.malwarebytes.com/blog/threat-intel/2026/03/infiniti-stealer-a-new-macos-infostealer-using-clickfix-and-python-nuitka) - [BleepingComputer - Infinity Stealer ClickFix](https://www.bleepingcomputer.com/news/security/new-infinity-stealer-malware-grabs-macos-data-via-clickfix-lures/)