FrigidStealer Stealer

كشف باحثو الأمن السيبراني عن حملة جديدة تستخدم عمليات حقن الويب لتوزيع تهديد غير محدد سابقًا لنظام التشغيل macOS يُعرف باسم FrigidStealer. وقد ارتبطت الحملة بجهة تهديد تُدعى TA2727، والتي ارتبطت أيضًا بتهديدات سرقة المعلومات التي تستهدف Windows (Lumma Stealer و DeerStealer) وAndroid ( Marcher ).

TA2727 ودوره في مشهد التهديدات

يُعرف TA2727 باستخدام إغراءات التحديث المزيفة لتوزيع حمولات ضارة مختلفة. وهو أحد مجموعات التهديدات التي تم تحديدها حديثًا إلى جانب TA2726، وهو فاعل تم تقييمه لتشغيل نظام توزيع حركة مرور ضار (TDS). يتيح هذا النظام انتشار البرامج الضارة من خلال توجيه حركة مرور الويب المخترقة إلى الجهات الفاعلة المهددة مثل TA2727 وTA569.

العلاقة بين TA2726 والجهات الفاعلة الأخرى المهددة

يلعب TA2726 دورًا رئيسيًا في توزيع البرامج الضارة من خلال العمل كأداة TDS لكل من TA2727 وTA569. يُعرف الأخير بنشر SocGholish (المعروف أيضًا باسم FakeUpdates)، وهو محمل قائم على JavaScript يتنكر في هيئة تحديث للمتصفح على مواقع الويب المخترقة. منذ سبتمبر 2022 على الأقل، سهّل TA2726 إعادة توجيه حركة المرور لهذه الجهات الفاعلة ذات الدوافع المالية، مما يجعله لاعبًا أساسيًا في مشهد التهديدات السيبرانية.

التحديثات المزيفة والحمولات المستهدفة جغرافيًا

يقوم كل من TA2727 وTA569 بتوزيع تهديداتهما من خلال مواقع الويب التي تم حقنها بجافا سكريبت تالف. تخدع هذه المواقع المخترقة المستخدمين لتحميل تحديثات مزيفة للمتصفحات مثل Google Chrome أو Microsoft Edge. ومع ذلك، يستخدم TA2727 نهجًا أكثر تخصيصًا، حيث يقدم برامج ضارة محددة بناءً على موقع المتلقي ونوع الجهاز.

على سبيل المثال، إذا قام مستخدم ويندوز في فرنسا أو المملكة المتحدة بزيارة موقع ويب مصاب، فقد يُطلب منه تنزيل ملف تثبيت MSI الذي يقوم بتشغيل Hijack Loader (DOILoader)، والذي يقوم بعد ذلك بتوصيل Lumma Stealer. وعلى نحو مماثل، قد يقوم مستخدمو أندرويد الذين يتم إعادة توجيههم من خلال نفس المخطط بتنزيل Marcher، وهو حصان طروادة مصرفي سيئ السمعة كان نشطًا لأكثر من عقد من الزمان.

توسيع نطاق الهجوم ليشمل مستخدمي macOS

اعتبارًا من يناير 2025، وسعت TA2727 حملتها لاستهداف مستخدمي macOS المقيمين خارج أمريكا الشمالية. يتم إعادة توجيه هؤلاء المستخدمين إلى صفحات تحديث احتيالية تؤدي إلى تنزيل FrigidStealer، وهو برنامج جديد لسرقة المعلومات تم تحديده مؤخرًا.

لتجاوز ميزة الأمان Gatekeeper من Apple، يتطلب برنامج التثبيت FrigidStealer من المستخدمين تشغيل التطبيق غير الموقّع يدويًا. بمجرد تنفيذه، يقوم ملف Mach-O القابل للتنفيذ المضمّن بتثبيت التهديد، مما يمثل تصعيدًا كبيرًا في جرائم الإنترنت التي تستهدف نظام التشغيل macOS.

كيف يعمل FrigidStealer

تم تصميم FrigidStealer باستخدام لغة البرمجة Go ويتميز بالتوقيع المخصص. والجدير بالذكر أنه يستخدم مشروع WailsIO، الذي يتيح عرض المحتوى داخل متصفح المستخدم. تعمل هذه الحيلة على تعزيز الوهم بأن المثبت الخبيث شرعي، مما يزيد من احتمالية الإصابة الناجحة.

بمجرد تنفيذه، يستخدم FrigidStealer برنامج AppleScript لطلب كلمة مرور نظام المستخدم، مما يمنحه امتيازات مرتفعة. ومن خلال هذا الوصول، يمكن للتهديد حصاد الملفات وبيانات المتصفح الحساسة وApple Notes والمعلومات المتعلقة بالعملات المشفرة، مما يشكل خطرًا كبيرًا على المستخدمين المتأثرين.

الصورة الأكبر: حملات البرامج الضارة عبر الويب

إن استخدام المواقع الإلكترونية المخترقة كآليات لتوصيل البرامج الضارة يسلط الضوء على اتجاه مستمر في التهديدات الإلكترونية. حيث يقوم المهاجمون بتخصيص الحمولات بناءً على نظام التشغيل والموقع الجغرافي للهدف، مما يضمن أقصى قدر من التأثير. وعلى الرغم من أن أنظمة macOS تظل أقل شيوعًا في بيئات المؤسسات مقارنة بنظام Windows، فإن هذه الحملة تعزز الحاجة المتزايدة لمستخدمي macOS للبقاء يقظين ضد التهديدات الإلكترونية المتطورة.