FrigidStealer Stealer
Výzkumníci v oblasti kybernetické bezpečnosti odhalili novou kampaň nasazující webové aplikace k distribuci dříve neidentifikované hrozby pro macOS známé jako FrigidStealer. Kampaň byla spojena s aktérem hrozeb zvaným TA2727, který byl také spojován s hrozbami kradoucími informace zaměřenými na Windows (Lumma Stealer, DeerStealer) a Android ( Marker ).
Obsah
TA2727 a jeho role v krajině hrozeb
TA2727 je známý používáním falešných aktualizačních návnad k distribuci různých škodlivých dat. Je to jeden z nově identifikovaných shluků hrozeb spolu s TA2726, aktérem, který provozuje škodlivý systém distribuce provozu (TDS). Tento systém umožňuje šíření malwaru nasměrováním ohroženého webového provozu na aktéry hrozeb, jako jsou TA2727 a TA569.
Vztah mezi TA2726 a dalšími hrozbami
TA2726 hraje klíčovou roli v distribuci malwaru tím, že funguje jako TDS pro TA2727 i TA569. Ten je proslulý nasazením SocGholish (také známého jako FakeUpdates), zavaděče založeného na JavaScriptu, který se maskuje jako aktualizace prohlížeče na napadených webech. TA2726 minimálně od září 2022 usnadňuje přesměrování provozu pro tyto finančně motivované aktéry hrozeb, což z něj činí zásadního hráče na poli kybernetických hrozeb.
Falešné aktualizace a geograficky cílené užitečné zatížení
Jak TA2727, tak TA569 distribuují své hrozby prostřednictvím webových stránek obsahujících poškozený JavaScript. Tyto kompromitované weby přivádějí uživatele ke stažení falešných aktualizací prohlížeče pro Google Chrome nebo Microsoft Edge. TA2727 však využívá více přizpůsobený přístup a dodává specifický malware na základě polohy příjemce a typu zařízení.
Pokud například uživatel Windows ve Francii nebo ve Spojeném království navštíví infikovanou webovou stránku, může být vyzván ke stažení instalačního souboru MSI, který spustí Hijack Loader (DOILoader), který pak poskytne Lumma Stealer. Podobně si uživatelé Androidu přesměrovaní prostřednictvím stejného schématu mohou nevědomky stáhnout Marcher, notoricky známý bankovní trojan, který je aktivní již více než deset let.
Rozšíření Útoku na uživatele macOS
Od ledna 2025 rozšířila TA2727 svou kampaň tak, aby cílila na uživatele macOS s bydlištěm mimo Severní Ameriku. Tito uživatelé jsou přesměrováni na podvodné aktualizační stránky, které spustí stahování FrigidStealer, nově identifikovaného zloděje informací.
Chcete-li obejít bezpečnostní funkci Gatekeeper společnosti Apple, instalační program FrigidStealer vyžaduje, aby uživatelé spustili nepodepsanou aplikaci ručně. Po spuštění vestavěný spustitelný soubor Mach-O nainstaluje hrozbu, což znamená významnou eskalaci kyberzločinu zaměřeného na macOS.
Jak FrigidStealer funguje
FrigidStealer je vytvořen pomocí programovacího jazyka Go a nabízí ad-hoc podepisování. Zejména využívá projekt WailsIO, který umožňuje vykreslování obsahu v prohlížeči uživatele. Tato taktika posiluje iluzi, že škodlivý instalátor je legitimní, a zvyšuje tak pravděpodobnost úspěšné infekce.
Po spuštění FrigidStealer používá AppleScript k vyžádání systémového hesla uživatele a uděluje mu zvýšená oprávnění. Díky tomuto přístupu může hrozba sklízet soubory, citlivá data prohlížeče, Apple Notes a informace související s kryptoměnami, což představuje značné riziko pro postižené uživatele.
The Bigger Picture: Web-based malware Campaigns
Použití kompromitovaných webových stránek jako mechanismů doručování malwaru zdůrazňuje pokračující trend v oblasti kybernetických hrozeb. Útočníci přizpůsobují užitečné zatížení na základě operačního systému cíle a geografické polohy, čímž zajišťují maximální dopad. Přestože systémy macOS zůstávají v podnikových prostředích méně běžné ve srovnání s Windows, tato kampaň posiluje rostoucí potřebu uživatelů macOS zůstat ostražití vůči vyvíjejícím se kybernetickým hrozbám.
