FrigidStealer Stealer
Els investigadors de ciberseguretat han descobert una nova campanya que desplega injectes web per distribuir una amenaça de macOS no identificada prèviament coneguda com FrigidStealer. La campanya s'ha associat amb un actor d'amenaces anomenat TA2727, que també s'ha associat amb amenaces de robatori d'informació dirigides a Windows (Lumma Stealer, DeerStealer) i Android ( Marcher ).
Taula de continguts
TA2727 i el seu paper en el paisatge de l’amenaça
TA2727 és conegut per utilitzar esquers d'actualització falsos per distribuir diverses càrregues útils malicioses. És un dels grups d'amenaces recentment identificats juntament amb TA2726, un actor avaluat per operar un sistema de distribució de trànsit maliciós (TDS). Aquest sistema permet la propagació de programari maliciós dirigint el trànsit web compromès a actors d'amenaça com ara TA2727 i TA569.
La relació entre TA2726 i altres actors d’amenaça
TA2726 té un paper clau en la distribució de programari maliciós actuant com a TDS tant per a TA2727 com per a TA569. Aquest últim és conegut per desplegar SocGholish (també conegut com a FakeUpdates), un carregador basat en JavaScript que es fa passar per una actualització del navegador en llocs web compromesos. Com a mínim des de setembre de 2022, TA2726 ha facilitat la redirecció del trànsit per a aquests actors d'amenaça motivats econòmicament, convertint-lo en un actor essencial en el panorama de les amenaces cibernètiques.
Actualitzacions falses i càrregues útils geo-orientades
Tant el TA2727 com el TA569 distribueixen les seves amenaces a través de llocs web injectats amb JavaScript danyat. Aquests llocs compromesos enganyen els usuaris perquè baixin actualitzacions falses del navegador per a Google Chrome o Microsoft Edge. Tanmateix, TA2727 utilitza un enfocament més personalitzat, que ofereix programari maliciós específic basat en la ubicació i el tipus de dispositiu del destinatari.
Per exemple, si un usuari de Windows a França o al Regne Unit visita un lloc web infectat, és possible que se li demani que baixi un fitxer d'instal·lació MSI que iniciï Hijack Loader (DOILoader), que després ofereix Lumma Stealer. De la mateixa manera, els usuaris d'Android redirigits mitjançant el mateix esquema poden descarregar, sense saber-ho, Marcher, un famós troià bancari que ha estat actiu durant més d'una dècada.
Ampliant l’atac als usuaris de macOS
Des del gener de 2025, TA2727 ha ampliat la seva campanya per orientar-se als usuaris de macOS que resideixen fora d'Amèrica del Nord. Aquests usuaris són redirigits a pàgines d'actualització fraudulentes que desencadenen la descàrrega de FrigidStealer, un robatori d'informació recentment identificat.
Per evitar la funció de seguretat Gatekeeper d'Apple, l'instal·lador de FrigidStealer requereix que els usuaris iniciïn l'aplicació sense signar manualment. Un cop executat, l'executable Mach-O incrustat instal·la l'amenaça, marcant una escalada significativa de la ciberdelinqüència dirigida a macOS.
Com funciona FrigidStealer
FrigidStealer es construeix amb el llenguatge de programació Go i inclou signatura ad-hoc. En particular, utilitza el projecte WailsIO, que permet representar contingut dins del navegador de l'usuari. Aquesta tàctica millora la il·lusió que l'instal·lador maliciós és legítim, augmentant la probabilitat d'una infecció reeixida.
Un cop executat, FrigidStealer utilitza AppleScript per sol·licitar la contrasenya del sistema de l'usuari, atorgant-li privilegis elevats. Amb aquest accés, l'amenaça pot recollir fitxers, dades sensibles del navegador, notes d'Apple i informació relacionada amb la criptomoneda, cosa que suposa un risc important per als usuaris afectats.
La imatge més gran: campanyes de programari maliciós basades en web
L'ús de llocs web compromesos com a mecanismes de lliurament de programari maliciós posa de manifest una tendència contínua en les amenaces cibernètiques. Els atacants estan personalitzant les càrregues útils en funció del sistema operatiu i la ubicació geogràfica de l'objectiu, garantint el màxim impacte. Tot i que els sistemes macOS segueixen sent menys comuns als entorns empresarials en comparació amb Windows, aquesta campanya reforça la necessitat creixent dels usuaris de macOS de mantenir-se vigilants contra les amenaces cibernètiques en evolució.
