FrigidStealer Stealer
Cybersikkerhedsforskere har afsløret en ny kampagne, der implementerer webinjektioner til at distribuere en tidligere uidentificeret macOS-trussel kendt som FrigidStealer. Kampagnen er blevet forbundet med en trusselsaktør døbt TA2727, som også har været forbundet med trusler mod informationstjæling rettet mod Windows (Lumma Stealer, DeerStealer) og Android ( Marcher ).
Indholdsfortegnelse
TA2727 og dens rolle i trusselslandskabet
TA2727 er kendt for at bruge falske opdateringslokker til at distribuere forskellige ondsindede nyttelaster. Det er en af de nyligt identificerede trusselklynger sammen med TA2726, en aktør, der vurderes at drive et ondsindet trafikdistributionssystem (TDS). Dette system muliggør spredning af malware ved at dirigere kompromitteret webtrafik til trusselsaktører såsom TA2727 og TA569.
Forholdet mellem TA2726 og andre trusselsaktører
TA2726 spiller en nøglerolle i malwaredistribution ved at fungere som en TDS for både TA2727 og TA569. Sidstnævnte er berygtet for at implementere SocGholish (også kendt som FakeUpdates), en JavaScript-baseret loader, der forklæder sig som en browseropdatering på kompromitterede websteder. Siden mindst september 2022 har TA2726 lettet trafikomdirigering for disse økonomisk motiverede trusselsaktører, hvilket gør den til en væsentlig aktør i cybertrussellandskabet.
Falske opdateringer og geo-målrettede nyttelaster
Både TA2727 og TA569 distribuerer deres trusler gennem websteder, der er injiceret med korrupt JavaScript. Disse kompromitterede websteder narre brugere til at downloade falske browseropdateringer til Google Chrome eller Microsoft Edge. TA2727 anvender dog en mere skræddersyet tilgang, der leverer specifik malware baseret på modtagerens placering og enhedstype.
For eksempel, hvis en Windows-bruger i Frankrig eller Storbritannien besøger et inficeret websted, kan de blive bedt om at downloade en MSI-installationsfil, der starter Hijack Loader (DOILoader), som derefter leverer Lumma Stealer. På samme måde kan Android-brugere, der omdirigeres gennem den samme ordning, ubevidst downloade Marcher, en berygtet banktrojaner, der har været aktiv i over et årti.
Udvidelse af angrebet til macOS-brugere
Fra januar 2025 har TA2727 udvidet sin kampagne til at målrette mod macOS-brugere, der bor uden for Nordamerika. Disse brugere omdirigeres til svigagtige opdateringssider, der udløser download af FrigidStealer, en nyligt identificeret informationstyver.
For at omgå Apples Gatekeeper-sikkerhedsfunktion kræver FrigidStealer-installationsprogrammet, at brugerne starter det usignerede program manuelt. Når den er eksekveret, installerer den indlejrede Mach-O-eksekverbare truslen, hvilket markerer en betydelig eskalering i macOS-målrettet cyberkriminalitet.
Sådan fungerer FrigidStealer
FrigidStealer er bygget ved hjælp af Go-programmeringssproget og har ad-hoc-signering. Det bruger især WailsIO-projektet, som gør det muligt at gengive indhold i brugerens browser. Denne taktik øger illusionen om, at det ondsindede installationsprogram er legitimt, hvilket øger sandsynligheden for vellykket infektion.
Når den er udført, bruger FrigidStealer AppleScript til at anmode om brugerens systemadgangskode, hvilket giver den forhøjede privilegier. Med denne adgang kan truslen høste filer, følsomme browserdata, Apple Notes og cryptocurrency-relaterede oplysninger, hvilket udgør en betydelig risiko for berørte brugere.
Det større billede: Web-baserede malware-kampagner
Brugen af kompromitterede websteder som malware-leveringsmekanismer fremhæver en vedvarende tendens i cybertrusler. Angribere tilpasser nyttelast baseret på målets operativsystem og geografiske placering, hvilket sikrer maksimal effekt. Selvom macOS-systemer forbliver mindre almindelige i virksomhedsmiljøer sammenlignet med Windows, forstærker denne kampagne det voksende behov for, at macOS-brugere forbliver på vagt over for cybertrusler, der udvikler sig.
