La campagne Infiniti Stealer exploite la confiance envers la marque Cloudflare
Des chercheurs en sécurité ont découvert une campagne de logiciels malveillants sophistiquée ciblant les utilisateurs de Mac via de fausses pages de vérification CAPTCHA de marque Cloudflare le 27 mars 2026. L'attaque utilise la technique d'ingénierie sociale ClickFix, exploitant la familiarité des utilisateurs avec les vérifications de sécurité légitimes de Cloudflare pour livrer le malware Infiniti infostealer.
L'attaque commence lorsque les victimes visitent des sites web compromis ou cliquent sur des liens malveillants qui les redirigent vers de fausses pages CAPTCHA convaincantes imitant l'interface de vérification de sécurité de Cloudflare. Ces pages affichent des éléments familiers, y compris le logo de Cloudflare, le schéma de couleurs et les messages que les utilisateurs rencontrent généralement lorsqu'ils accèdent à des sites web protégés par les services de sécurité de Cloudflare.
La chaîne d'infection représente une attaque en plusieurs étapes conçue pour contourner les protections de sécurité de macOS. Une fois que les utilisateurs interagissent avec le faux CAPTCHA, ils sont invités à compléter un processus de vérification qui déclenche en réalité le téléchargement et l'exécution de code malveillant. Les attaquants ont conçu le composant d'ingénierie sociale pour paraître légitime, capitalisant sur la confiance des utilisateurs dans l'infrastructure de sécurité répandue de Cloudflare.
La campagne démontre une sophistication croissante dans le ciblage des utilisateurs de Mac, qui ont historiquement été moins ciblés par les campagnes de logiciels malveillants par rapport aux utilisateurs de Windows. Le choix d'usurper spécifiquement Cloudflare reflète l'omniprésence du service sur Internet, rendant les fausses pages de vérification crédibles pour un large éventail d'utilisateurs.
Les chercheurs ont identifié la campagne grâce à l'analyse du trafic réseau suspect et aux rapports d'utilisateurs concernant un comportement système inattendu suite à des interactions avec des pages de vérification de sécurité apparemment légitimes. L'attaque représente une évolution préoccupante des tactiques d'ingénierie sociale spécifiquement conçues pour contourner les mesures de sécurité de macOS.
Les utilisateurs de macOS de toutes versions font face à un risque de vol de données d'identification
La campagne Infiniti stealer affecte les utilisateurs de Mac exécutant toutes les versions actuelles de macOS, y compris macOS Sonoma 14.x, macOS Ventura 13.x et macOS Monterey 12.x. Le malware n'exploite pas de vulnérabilités système spécifiques mais repose sur l'ingénierie sociale pour tromper les utilisateurs afin qu'ils exécutent manuellement du code malveillant, rendant les protections spécifiques à une version moins efficaces.
Les utilisateurs les plus à risque incluent ceux qui rencontrent fréquemment des pages de vérification CAPTCHA lors de la navigation web normale, en particulier les individus qui accèdent à des sites web protégés par des réseaux de distribution de contenu ou des services de sécurité. L'attaque cible spécifiquement la familiarité des utilisateurs avec les processus de vérification légitimes de Cloudflare, la rendant particulièrement efficace contre les utilisateurs qui interagissent régulièrement avec des sites web utilisant les services de Cloudflare.
L'infostealer se concentre sur la collecte de données sensibles stockées sur les systèmes infectés, y compris les mots de passe enregistrés dans les navigateurs, les informations de portefeuilles de cryptomonnaie, les jetons d'authentification et les fichiers personnels. Les utilisateurs de Mac qui stockent des informations financières, utilisent des gestionnaires de mots de passe intégrés aux navigateurs ou maintiennent des portefeuilles de cryptomonnaie font face au plus grand risque de perte de données significative.
Les organisations avec des effectifs basés sur Mac devraient être particulièrement préoccupées, car le stealer peut potentiellement accéder aux identifiants d'entreprise, aux configurations VPN et aux documents d'affaires sensibles stockés sur les systèmes infectés. Les travailleurs à distance et les employés qui accèdent fréquemment aux services cloud via des navigateurs web représentent des cibles privilégiées pour ce type d'attaque de collecte de données d'identification.
Une chaîne d'infection en quatre étapes contourne les contrôles de sécurité de macOS
L'Infiniti stealer utilise une chaîne d'infection sophistiquée en quatre étapes conçue pour échapper à la détection et établir une persistance sur les systèmes macOS. L'attaque commence avec la fausse page CAPTCHA, qui sert de vecteur initial d'ingénierie sociale. Lorsque les utilisateurs tentent de compléter la vérification, ils déclenchent à leur insu le téléchargement d'un script Bash qui initie le processus d'infection.
La deuxième étape implique l'exécution du script Bash, qui effectue une reconnaissance initiale du système et télécharge des composants supplémentaires. Ce script vérifie la présence de logiciels de sécurité, établit une connectivité réseau avec les serveurs de commande et de contrôle, et prépare le système pour la livraison de la charge utile. Le script fonctionne avec les permissions de l'utilisateur qui a déclenché le faux CAPTCHA, évitant ainsi le besoin d'une élévation de privilèges.
La troisième étape déploie un chargeur Nuitka, un convertisseur Python-vers-exécutable qui emballe la charge utile finale dans un format conçu pour contourner les mécanismes de sécurité de macOS. La compilation Nuitka aide à obfusquer le code Python malveillant et rend l'analyse statique plus difficile pour les outils de sécurité. Le chargeur établit des mécanismes de persistance et crée les structures de répertoires nécessaires pour le fonctionnement du stealer.
La dernière étape active le stealer Infiniti basé sur Python lui-même, qui commence la collecte systématique de données à partir du système infecté. Le stealer cible les magasins d'identifiants des navigateurs, examine les processus en cours pour les applications de cryptomonnaie, et recherche des fichiers contenant des informations sensibles. Les utilisateurs de Mac devraient immédiatement se déconnecter d'Internet s'ils soupçonnent une infection et effectuer des analyses de sécurité complètes à l'aide d'outils antimalware mis à jour. Les organisations devraient mettre en œuvre une surveillance réseau pour détecter des modèles de trafic sortant inhabituels qui pourraient indiquer des tentatives d'exfiltration de données.
