🔍 Contexte

Publié le 28 mars 2026 par Stefan Dasic sur le blog Malwarebytes, cet article présente la découverte d’un nouvel infostealer macOS initialement nommé NukeChain, puis renommé Infiniti Stealer après la divulgation publique de son panneau de contrôle. Il s’agit, selon les auteurs, de la première campagne macOS documentée combinant la technique ClickFix et un stealer Python compilé avec Nuitka.

🎯 Vecteur d’infection : ClickFix via fausse page CAPTCHA

L’infection débute sur le domaine update-check[.]com, qui affiche une réplique de page de vérification humaine Cloudflare. L’utilisateur est invité à :

  • Ouvrir Terminal (via Commande + Espace)
  • Coller et exécuter une commande Bash encodée en Base64

Cette technique d’ingénierie sociale contourne les mécanismes de défense traditionnels car elle ne repose sur aucun exploit ni pièce jointe malveillante.

⚙️ Chaîne d’infection en 3 étapes

Étape 1 – Bash Dropper : Script Bash similaire à ceux observés dans MacSync/SHub, qui décode la charge utile, supprime le flag de quarantaine via xattr -dr com.apple.quarantine, exécute le binaire via nohup et efface les traces via AppleScript.

Étape 2 – Nuitka Loader : Binaire Mach-O pour Apple Silicon (~8,6 Mo), compilé en mode « onefile » avec Nuitka. Signature d’en-tête : 4b 41 59 28 b5 2f fd (KAY + archive zstd). Décompresse ~35 Mo de données intégrées à l’exécution.

Étape 3 – Charge utile Python : Fichier UpdateHelper.bin, écrit en Python 3.11 et compilé avec Nuitka. Cible :

  • Identifiants des navigateurs Chromium et Firefox
  • Trousseau macOS
  • Portefeuilles de cryptomonnaies
  • Fichiers de développement (.env)
  • Captures d’écran pendant l’exécution

📡 Exfiltration et évasion

Les données sont exfiltrées via requêtes HTTP POST. Le malware vérifie la présence d’environnements d’analyse (any.run, Joe Sandbox, Hybrid Analysis, VMware, VirtualBox) et introduit un délai aléatoire pour contourner l’analyse automatisée. Une fonction upload_complete() envoie une notification Telegram à l’opérateur et met en file d’attente les identifiants pour craquage côté serveur.

📋 Type d’article

Analyse technique détaillée à visée CTI, documentant une nouvelle menace macOS avec IOCs, chaîne d’infection complète et techniques d’évasion.

🧠 TTPs et IOCs détectés

TTP

  • T1204.002 — User Execution: Malicious File (Execution)
  • T1059.004 — Command and Scripting Interpreter: Unix Shell (Execution)
  • T1059.006 — Command and Scripting Interpreter: Python (Execution)
  • T1566 — Phishing (Initial Access)
  • T1027.002 — Obfuscated Files or Information: Software Packing (Defense Evasion)
  • T1497.001 — Virtualization/Sandbox Evasion: System Checks (Defense Evasion)
  • T1497.003 — Virtualization/Sandbox Evasion: Time Based Evasion (Defense Evasion)
  • T1555.001 — Credentials from Password Stores: Keychain (Credential Access)
  • T1555.003 — Credentials from Password Stores: Credentials from Web Browsers (Credential Access)
  • T1113 — Screen Capture (Collection)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1140 — Deobfuscate/Decode Files or Information (Defense Evasion)
  • T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
  • T1552.001 — Unsecured Credentials: Credentials In Files (Credential Access)

IOC

  • Domaines : update-check.com
  • Domaines : infiniti-stealer.com
  • URLs : https://update-check.com/m/7d8df27d95d9
  • SHA256 : 1e63be724bf651bb17bcf181d11bacfabef6a6360dcdfda945d6389e80f2b958
  • MD5 : da73e42d1f9746065f061a6e85e28f0c
  • Fichiers : UpdateHelper.bin
  • Chemins : /tmp/.bs_debug.log
  • Chemins : /tmp/.2835b1b5098587a9

Malware / Outils

  • Infiniti Stealer (stealer)
  • NukeChain (stealer)
  • MacSync (stealer)
  • SHub (stealer)
  • Nuitka (tool)

🔗 Source originale : https://www.malwarebytes.com/fr/blog/threat-intel/2026/03/infiniti-stealer-a-new-macos-infostealer-using-clickfix-and-python-nuitka