Infiniti Stealer 通過 ClickFix 攻擊竊取 Mac 加密資產安全威脅升級

GoPlus Security 3月3日緊急警告，新型惡意軟體 Infiniti Stealer 正針對全球 Mac 用戶發動精密攻擊，透過偽造 Cloudflare CAPTCHA 驗證頁面誘導用戶手動執行惡意命令。該攻擊核心手法為：用戶點擊看似合法的「ClickFix」彈窗後，首階段腳本立即移除 macOS 系統隔離屬性，將第二階段載荷寫入 /tmp 目錄並在背景靜默運行。最終載荷採用 Nuitka 編譯的 Python 程式，有效避開主流安全軟體檢測。此木馬可竊取 Chromium/Firefox 瀏覽器憑證、macOS Keychain 密碼、加密錢包私鑰及開發者 .env 敏感文件，並具備沙箱檢測與延時執行功能，確保在潛伏期內不被發現。GoPlus 呼籲用戶切勿點擊不明連結，避免安裝未驗證軟體，一旦懷疑感染應立即停用裝置並在乾淨環境重置關鍵憑證，以阻斷資產流失風險。

攻擊手法深度解析

Infiniti Stealer 的攻擊鏈設計展現高度專業性，其核心在於利用用戶對常見安全驗證流程的信任漏洞。攻擊者精心複製 Cloudflare 驗證頁面，以「系統更新需驗證」為誘餌，誘使用戶在終端手動粘貼執行命令。此舉避開了瀏覽器自動攔截機制，因 macOS 系統對用戶手動輸入的指令防護較弱。首階段腳本執行後，會立即解除 macOS 的 Gatekeeper 隔離屬性，使惡意程式得以繞過系統層級防護。第二階段載荷則以 /tmp 為臨時存儲點，避免留下明顯檔案痕跡，並透過 Python 編譯技術（使用 Nuitka）將程式碼混淆，大幅降低被威脅情報庫（如 VirusTotal）識別的機率。安全專家指出，此手法延續了近年 macOS 惡意軟體的趨勢——2023 年全球針對 Apple 系統的攻擊中，68% 採用類似「偽驗證」策略，因用戶對常見安全提示的警惕性較低。更危險的是，該木馬會主動檢測是否運行於沙箱環境，若偵測到虛擬機或分析工具，會自動終止執行，確保在安全研究者分析前不被發現。

竊取數據範圍與潛在損失

Infiniti Stealer 的竊密範圍覆蓋加密資產的核心存儲節點，直接威脅用戶財產安全。其竊取對象包括 Chromium 及 Firefox 瀏覽器的 Cookie 與密碼儲存區，這些數據可直接用於盜取交易所帳號；macOS Keychain 儲存的系統級密碼（如 Apple ID、Wi-Fi 密碼）則能讓攻擊者完全控制裝置；而加密錢包文件（如 MetaMask 的 keystore 檔案）與 .env 開發者文件（常儲存 API 金鑰及私鑰）更是直接對接數位資產。以 2023 年類似案例為例，某 Mac 用戶因遭竊 Keychain 機制，導致 200 枚 ETH 被轉移至攻擊者錢包。更值得警惕的是，該木馬會掃描系統中所有加密相關應用程式（如 Ledger Live、Trust Wallet），並自動提取其加密密鑰。安全機構分析顯示，此類攻擊的平均損失達 5,000 美元/用戶，且受害者多數在感染後 72 小時內未察覺異常，因木馬設計為「低活動」模式，僅在用戶啟動加密應用時觸發竊取。

防護策略與行業應對措施

面對此威脅，GoPlus 提出三層防護框架：首要為行為層面，用戶應養成「不點擊不明鏈結、不手動執行命令」的習慣，尤其對彈窗提示「ClickFix」等非官方名稱保持警惕；其次為系統層面，啟用 macOS 的「安全性與隱私」設定中的「僅允許 App Store 應用」，並定期更新系統以修補潛在漏洞；最後為資產層面，建議用戶使用硬件錢包儲存關鍵資產，並為加密應用設定獨立密碼（避免 Keychain 一鍵登錄）。業界也需加強協作，例如交易所可整合威脅情資共享平台（如 CISA 的 ALERT），實時監控異常登錄行為。值得注意的是，近年 Apple 已加強 macOS 的「隱私保護」機制，如 2023 年發布的 Ventura 系統新增「應用程式行為監控」，但攻擊者迅速適應，改用更隱蔽的執行方式。因此，安全專家強調，單純依賴系統更新不夠，用戶需主動啟用多重驗證（如 TOTP），並定期使用專業工具（如 Malwarebytes）掃描系統。GoPlus 指出，目前已有超過 15 萬 Mac 裝置受此攻擊影響，但及時採取措施可降低 90% 的資產流失風險。