Infinity Stealer greift macOS über ClickFix an, Red Menshen BPFDoor-Schläferzellen in Telekom-Netzen, FBI-Direktor Patel gehackt, RedLine-Admin an USA ausgeliefert, TP-Link- & BIND-Patches
Infinity Stealer nutzt ClickFix-Köder und Nuitka-kompiliertes Python zum Diebstahl von macOS-Zugangsdaten. Red Menshen platziert BPFDoor-Kernel-Implantate in Telekommunikationsnetzen. Pro-iranische Gruppe behauptet FBI-Direktor Patel gehackt zu haben. RedLine-Malware-Administrator an die USA ausgeliefert. TP-Link und BIND veröffentlichen hochkritische Patches.
1. Infinity Stealer — Neue macOS-Malware nutzt ClickFix-Köder und Nuitka-Kompilierung
Malwarebytes-Forscher haben Infinity Stealer dokumentiert, eine neue Infostealer-Malware für macOS, die ClickFix-Social-Engineering mit einer Python-Payload kombiniert, die mit dem Open-Source-Compiler Nuitka kompiliert wurde — ein Novum für macOS-Malware-Kampagnen.
Die Angriffskette
- Stufe 1: Fake-Cloudflare-CAPTCHA auf
update-check[.]comverleitet Opfer, einen base64-verschleiertencurl-Befehl in das macOS-Terminal einzufügen - Stufe 2: Ein 8,6 MB Mach-O-Binary mit einem 35 MB zstd-komprimierten Archiv entpackt die finale Payload
- Stufe 3: Infinity Stealer stiehlt Zugangsdaten aus Chromium/Firefox, macOS-Schlüsselbund, Krypto-Wallets und
.env-Dateien
Nuitka kompiliert Python zu nativem C-Code, was statische Analyse erheblich erschwert. Alle gestohlenen Daten werden per HTTP POST exfiltriert, mit Telegram-Benachrichtigungen an die Angreifer.
⚠️ Handlungsbedarf
macOS-Nutzer sollten niemals Terminal-Befehle von nicht vertrauenswürdigen Websites einfügen. Organisationen sollten Endpoint-Detection einsetzen, die verdächtige curl-Pipe-Ketten und Quarantäne-Flag-Entfernung überwacht.
2. Red Menshen platziert BPFDoor-Schläferzellen in Telekom-Backbone-Netzwerken
Rapid7 Labs hat aufgedeckt, wie Red Menshen (auch bekannt als Earth Bluecrow) — ein China-nahestehender Bedrohungsakteur — BPFDoor-Kernel-Implantate tief in Telekommunikationsnetzen im Nahen Osten und Asien eingebettet hat.
Funktionsweise von BPFDoor
- Kernel-Level-Traffic-Inspektion: Missbraucht Berkeley Packet Filter zur Verkehrsinspektion direkt im Linux-Kernel
- Magic-Packet-Aktivierung: Bleibt vollständig inaktiv bis zum Empfang eines speziell formatierten Triggerpakets
- Kein persistenter Listener: Unsichtbar für Port-Scans und die meisten Endpoint-Detection-Tools
Red Menshen greift über Schwachstellen in Ivanti, Cisco, Juniper, Fortinet, VMware und Palo Alto Networks in Internet-exponierte Infrastruktur an.
3. Pro-iranische Hackergruppe behauptet, FBI-Direktor Patels persönliches Konto kompromittiert zu haben
Eine pro-iranische Hackergruppe hat die Verantwortung für die Kompromittierung des persönlichen Kontos von FBI-Direktor Kash Patel übernommen und bietet E-Mails und Dokumente zum Download an.
🔶 Hochrangiges Ziel
Staatliche Akteure zielen auf persönliche Konten hochrangiger Personen, da private E-Mail und Cloud-Speicher selten die Sicherheitskontrollen von Regierungssystemen haben.
4. Hightower-Holding-Datenpanne betrifft 130.000 Personen
Hightower Holding hat eine Datenpanne gemeldet, bei der Namen, Sozialversicherungsnummern und Führerscheinnummern von rund 130.000 Personen gestohlen wurden — eine Kombination, die für Identitätsdiebstahl besonders gefährlich ist.
5. Mutmaßlicher RedLine-Malware-Administrator an die USA ausgeliefert
Hambardzum Minasyan aus Armenien wurde an die USA ausgeliefert wegen Beteiligung an Entwicklung und Betrieb des RedLine-Infostealers — einem der erfolgreichsten Credential-Stealing-Malware-Familien. Die Auslieferung folgt auf Operation Magnus, die 2024 die RedLine-Infrastruktur gestört hat.
6. TP-Link behebt hochkritische Router-Schwachstellen
TP-Link hat Patches für Schwachstellen veröffentlicht, die Authentifizierungsumgehung, beliebige Befehlsausführung und Entschlüsselung von Konfigurationsdateien ermöglichen.
⚠️ Jetzt patchen
Angesichts der weiten Verbreitung von TP-Link-Routern sollten Organisationen diese Firmware-Updates priorisieren.
7. BIND-DNS-Updates beheben Speicherleck-Schwachstellen
ISC hat Updates für BIND-DNS-Server veröffentlicht, die hochkritische Schwachstellen beheben. Speziell gestaltete DNS-Anfragen können Speicherlecks auslösen, die zu Resolver-Abstürzen führen.