FrigidStealer Stealer
Οι ερευνητές στον τομέα της κυβερνοασφάλειας αποκάλυψαν μια νέα καμπάνια που αναπτύσσει διαδικτυακές εγχύσεις για τη διανομή μιας προηγουμένως άγνωστης απειλής macOS γνωστής ως FrigidStealer. Η καμπάνια έχει συσχετιστεί με έναν παράγοντα απειλών που ονομάζεται TA2727, ο οποίος έχει επίσης συσχετιστεί με απειλές κλοπής πληροφοριών που στοχεύουν τα Windows (Lumma Stealer, DeerStealer) και το Android ( Marcher ).
Πίνακας περιεχομένων
Το TA2727 και ο ρόλος του στο τοπίο απειλών
Το TA2727 είναι γνωστό ότι χρησιμοποιεί ψεύτικα θέλγητρα ενημέρωσης για τη διανομή διαφόρων κακόβουλων ωφέλιμων φορτίων. Είναι ένα από τα νέα συμπλέγματα απειλών που εντοπίστηκαν μαζί με τον TA2726, έναν παράγοντα που εκτιμάται ότι λειτουργεί ένα κακόβουλο σύστημα διανομής κυκλοφορίας (TDS). Αυτό το σύστημα επιτρέπει την εξάπλωση κακόβουλου λογισμικού κατευθύνοντας την παραβιασμένη κυκλοφορία ιστού σε παράγοντες απειλών όπως το TA2727 και το TA569.
Η σχέση μεταξύ του TA2726 και άλλων παραγόντων απειλής
Το TA2726 παίζει βασικό ρόλο στη διανομή κακόβουλου λογισμικού ενεργώντας ως TDS τόσο για το TA2727 όσο και για το TA569. Το τελευταίο είναι διαβόητο για την ανάπτυξη του SocGholish (γνωστό και ως FakeUpdates), ενός προγράμματος φόρτωσης που βασίζεται σε JavaScript που μεταμφιέζεται ως ενημέρωση προγράμματος περιήγησης σε παραβιασμένους ιστότοπους. Τουλάχιστον από τον Σεπτέμβριο του 2022, το TA2726 έχει διευκολύνει την ανακατεύθυνση της κυκλοφορίας για αυτούς τους παράγοντες απειλών με οικονομικά κίνητρα, καθιστώντας το βασικό παράγοντα στο τοπίο των απειλών στον κυβερνοχώρο.
Ψεύτικες ενημερώσεις και γεωγραφικά στοχευμένα ωφέλιμα φορτία
Τόσο το TA2727 όσο και το TA569 διανέμουν τις απειλές τους μέσω ιστότοπων με ένεση με κατεστραμμένο JavaScript. Αυτοί οι παραβιασμένοι ιστότοποι εξαπατούν τους χρήστες να κατεβάσουν ψεύτικες ενημερώσεις προγράμματος περιήγησης για το Google Chrome ή τον Microsoft Edge. Ωστόσο, το TA2727 χρησιμοποιεί μια πιο προσαρμοσμένη προσέγγιση, παρέχοντας συγκεκριμένο κακόβουλο λογισμικό με βάση την τοποθεσία και τον τύπο συσκευής του παραλήπτη.
Για παράδειγμα, εάν ένας χρήστης των Windows στη Γαλλία ή στο Ηνωμένο Βασίλειο επισκεφτεί έναν μολυσμένο ιστότοπο, μπορεί να του ζητηθεί να πραγματοποιήσει λήψη ενός αρχείου εγκατάστασης MSI που εκκινεί το Hijack Loader (DOILoader), το οποίο στη συνέχεια παραδίδει το Lumma Stealer. Ομοίως, οι χρήστες Android που ανακατευθύνονται μέσω του ίδιου συστήματος μπορούν εν αγνοία τους να κατεβάσουν το Marcher, ένα διαβόητο τραπεζικό Trojan που είναι ενεργό για πάνω από μια δεκαετία.
Επέκταση της επίθεσης σε χρήστες macOS
Από τον Ιανουάριο του 2025, το TA2727 επέκτεινε την καμπάνια του για να στοχεύσει χρήστες macOS που κατοικούν εκτός Βόρειας Αμερικής. Αυτοί οι χρήστες ανακατευθύνονται σε σελίδες δόλιας ενημέρωσης που ενεργοποιούν τη λήψη του FrigidStealer, ενός πρόσφατα αναγνωρισμένου κλέφτη πληροφοριών.
Για να παρακάμψει τη δυνατότητα ασφαλείας Gatekeeper της Apple, το πρόγραμμα εγκατάστασης FrigidStealer απαιτεί από τους χρήστες να εκκινήσουν την ανυπόγραφη εφαρμογή με μη αυτόματο τρόπο. Μόλις εκτελεστεί, το ενσωματωμένο εκτελέσιμο Mach-O εγκαθιστά την απειλή, σηματοδοτώντας μια σημαντική κλιμάκωση του εγκλήματος στον κυβερνοχώρο που στοχεύει στο macOS.
Πώς λειτουργεί το FrigidStealer
Το FrigidStealer έχει κατασκευαστεί χρησιμοποιώντας τη γλώσσα προγραμματισμού Go και διαθέτει ad-hoc υπογραφή. Συγκεκριμένα, χρησιμοποιεί το έργο WailsIO, το οποίο επιτρέπει την απόδοση περιεχομένου μέσα στο πρόγραμμα περιήγησης του χρήστη. Αυτή η τακτική ενισχύει την ψευδαίσθηση ότι το κακόβουλο πρόγραμμα εγκατάστασης είναι νόμιμο, αυξάνοντας την πιθανότητα επιτυχούς μόλυνσης.
Μόλις εκτελεστεί, το FrigidStealer χρησιμοποιεί AppleScript για να ζητήσει τον κωδικό πρόσβασης συστήματος του χρήστη, παραχωρώντας του αυξημένα προνόμια. Με αυτήν την πρόσβαση, η απειλή μπορεί να συλλέξει αρχεία, ευαίσθητα δεδομένα προγράμματος περιήγησης, Apple Notes και πληροφορίες που σχετίζονται με κρυπτονομίσματα, θέτοντας σημαντικό κίνδυνο για τους επηρεαζόμενους χρήστες.
Η μεγαλύτερη εικόνα: Καμπάνιες κακόβουλου λογισμικού που βασίζονται στον ιστό
Η χρήση παραβιασμένων ιστοτόπων ως μηχανισμών παράδοσης κακόβουλου λογισμικού υπογραμμίζει μια συνεχιζόμενη τάση στις απειλές στον κυβερνοχώρο. Οι επιτιθέμενοι προσαρμόζουν τα ωφέλιμα φορτία με βάση το λειτουργικό σύστημα και τη γεωγραφική θέση του στόχου, εξασφαλίζοντας μέγιστο αντίκτυπο. Αν και τα συστήματα macOS παραμένουν λιγότερο κοινά σε εταιρικά περιβάλλοντα σε σύγκριση με τα Windows, αυτή η καμπάνια ενισχύει την αυξανόμενη ανάγκη των χρηστών macOS να παραμείνουν σε επαγρύπνηση έναντι των εξελισσόμενων απειλών στον κυβερνοχώρο.
