FrigidStealer крадец
Изследователите на киберсигурността са разкрили нова кампания за внедряване на уеб инжектиране за разпространение на неидентифицирана преди това macOS заплаха, известна като FrigidStealer. Кампанията е свързана със заплаха, наречена TA2727, която също е свързана със заплахи за кражба на информация, насочени към Windows (Lumma Stealer, DeerStealer) и Android ( Marcher ).
Съдържание
TA2727 и неговата роля в ландшафта на заплахите
TA2727 е известен с използването на фалшиви примамки за актуализиране за разпространение на различни злонамерени полезни товари. Това е един от новооткритите клъстери на заплахи заедно с TA2726, участник, за който се оценява, че управлява система за разпространение на злонамерен трафик (TDS). Тази система позволява разпространението на злонамерен софтуер, като насочва компрометирания уеб трафик към заплахи като TA2727 и TA569.
Връзката между TA2726 и други участници в заплахи
TA2726 играе ключова роля в разпространението на злонамерен софтуер, като действа като TDS както за TA2727, така и за TA569. Последният е известен с внедряването на SocGholish (известен също като FakeUpdates), базиран на JavaScript зареждащ инструмент, маскиран като актуализация на браузъра на компрометирани уебсайтове. Най-малко от септември 2022 г. TA2726 улесни пренасочването на трафика за тези финансово мотивирани участници в заплахи, което го прави важен играч в пейзажа на киберзаплахите.
Фалшиви актуализации и географски насочени полезни товари
И TA2727, и TA569 разпространяват своите заплахи чрез уебсайтове, инжектирани с повреден JavaScript. Тези компрометирани сайтове подмамват потребителите да изтеглят фалшиви актуализации на браузъра за Google Chrome или Microsoft Edge. Въпреки това, TA2727 използва по-специализиран подход, доставяйки специфичен зловреден софтуер въз основа на местоположението на получателя и типа на устройството.
Например, ако потребител на Windows във Франция или Обединеното кралство посети заразен уебсайт, той може да бъде подканен да изтегли MSI инсталационен файл, който стартира Hijack Loader (DOILoader), който след това доставя Lumma Stealer. По подобен начин потребители на Android, пренасочени чрез същата схема, могат несъзнателно да изтеглят Marcher, известен банков троянски кон, който е активен повече от десетилетие.
Разширяване на атаката към потребителите на macOS
От януари 2025 г. TA2727 разшири кампанията си, за да се насочи към потребители на macOS, живеещи извън Северна Америка. Тези потребители се пренасочват към страници за измамни актуализации, които задействат изтеглянето на FrigidStealer, наскоро идентифициран крадец на информация.
За да заобиколи защитната функция на Gatekeeper на Apple, инсталаторът на FrigidStealer изисква от потребителите да стартират ръчно неподписаното приложение. Веднъж изпълнен, вграденият Mach-O изпълним файл инсталира заплахата, отбелязвайки значителна ескалация в киберпрестъпността, насочена към macOS.
Как работи FrigidStealer
FrigidStealer е създаден с помощта на езика за програмиране Go и включва ad-hoc подписване. По-специално, той използва проекта WailsIO, който позволява рендиране на съдържание в браузъра на потребителя. Тази тактика засилва илюзията, че злонамереният инсталатор е легитимен, увеличавайки вероятността за успешно заразяване.
Веднъж изпълнен, FrigidStealer използва AppleScript, за да поиска системната парола на потребителя, предоставяйки му повишени привилегии. С този достъп заплахата може да събира файлове, чувствителни данни на браузъра, Apple Notes и информация, свързана с криптовалута, което представлява значителен риск за засегнатите потребители.
По-голямата картина: Уеб базирани кампании за зловреден софтуер
Използването на компрометирани уебсайтове като механизми за доставка на злонамерен софтуер подчертава продължаваща тенденция в киберзаплахите. Нападателите персонализират полезните натоварвания въз основа на операционната система и географското местоположение на целта, като гарантират максимално въздействие. Въпреки че системите macOS остават по-рядко срещани в корпоративни среди в сравнение с Windows, тази кампания засилва нарастващата нужда потребителите на macOS да останат бдителни срещу развиващите се кибер заплахи.
