Поддельная CAPTCHA крадет криптовалюту у пользователей macOS

Пользователи криптовалют столкнулись с новой угрозой безопасности из-за поддельных страниц CAPTCHA в Cloudflare. Атака приводит к установке нового вредоносного ПО под названием Infiniti Stealer, предназначенного для кражи данных криптокошельков из систем macOS. 

Это означает, что любой разработчик или пользователь криптовалют, имеющий MacBook или настольный компьютер Mac, рискует быть зараженным этим вредоносным ПО.

Атака ClickFix запускает заражение системы macOS

Специалисты по безопасности из Malwarebytes обнаружили эту кампанию. Позже была раскрыта панель управления вредоносной программы, которая и дала название Infinite Stealer.

Программа для кражи информации распространяется через атаку ClickFix. Атака ClickFix классифицируется как атака с использованием методов социальной инженерии. Она обманом заставляет пользователей самостоятельно выполнить вредоносную команду. Вместо того чтобы взломать ваш компьютер напрямую, она убеждает вас сделать это за них.

Атака начинается с поддельной страницы CAPTCHA от update-check[.]com. Страница выглядит как страница проверки пользователя Cloudflare, но это не так. После нажатия на поддельную CAPTCHA пользователю предлагается открыть Терминал и вставить команду.

Эта команда не является проверкой. Это скрытый скрипт установки, который загружает и запускает вредоносное ПО на компьютере пользователя.

Атака работает, потому что пользователь выполняет команду. Она обходит традиционные средства защиты, поскольку нет эксплойта.

После выполнения команды происходит подключение к удалённому серверу, контролируемому злоумышленником, который загружает Infiniti Stealer и незаметно устанавливает его на Mac. Никаких всплывающих окон, никаких предупреждений, просто бесшумная установка.

Исследователи в области безопасности утверждают, что анализировать и обнаруживать это вредоносное ПО сложно, поскольку оно скомпилировано в нативный исполняемый файл macOS. Это не просто скрипт на Python, который легко прочитать и понять.

Вредоносная программа предназначена для кражи конфиденциальных данных с компьютеров Mac, включая данные криптокошельков, учетныеdentиз браузеров и связки ключей macOS, секретные данные в открытом виде из файлов разработчика и даже снимки экрана, сделанные во время выполнения.

Также программа проверяет, работает ли она в аналитической среде, чтобы избежать обнаружения, и отправляет украденные данные на сервер злоумышленника. После завершенияtracданных злоумышленнику отправляются уведомления в Telegram, а захваченныеdentданные ставятся в очередь на взлом паролей на стороне сервера.

Атаки ClickFix распространены в Windows, но теперь хакеры адаптируют их для машин Apple. Системы macOS больше не считаются защищенными от вредоносных программ. Криптографам следует проявлять осторожность при просмотре веб-страниц и никогда не вставлять команды в Терминал из ненадежных источников.

Резко возросло количество случаев компромиссов в отношении персональных криптокошельков

Это не первая изощренная атака на пользователей криптовалют в macOS. Cryptopolitan В марте GhostClaw, новом вредоносном ПО для macOS, которое крадет закрытые ключи, доступ к кошелькам и другие конфиденциальные данные.

Вредоносная программа была зарегистрирована в npm, популярном менеджере пакетов для JavaScript. Она выдавала себя за настоящий инструмент OpenClaw, но вместо этого проводила многоэтапную атаку. В общей сложности 178 разработчиков загрузили вредоносный пакет, прежде чем он был удален из реестра.

В общей сложности в 2025 году из криптовалютной индустрии было украдено 3,4 миллиарда долларов.

«Количество случаев взлома личных кошельков значительно возросло, увеличившись с 7,3% от общей суммы украденных средств в 2022 году до 44% в 2024 году», — говорится в отчете компании Chainalysis, специализирующейся на безопасности блокчейна.

Если бы не колоссальный масштаб атаки на личные кошельки, к 2025 году этот показатель достиг бы 37%.