Ohtude andmebaas Maci pahavara FrigidStealer Stealer

FrigidStealer Stealer

Küberturvalisuse teadlased on avastanud uue kampaania, mis kasutab veebisüste, et levitada varem tuvastamata MacOS-i ohtu, mida tuntakse kui FrigidStealer. Kampaaniat on seostatud TA2727-nimelise ohutegijaga, keda on seostatud ka Windowsi (Lumma Stealer, DeerStealer) ja Androidi ( Marcher ) sihikule suunatud teabevarguste ohtudega.

TA2727 ja selle roll ohumaastikul

TA2727 on tuntud selle poolest, et kasutab erinevate pahatahtlike kasulike koormuste levitamiseks võltsitud värskenduspeibutusi. See on üks äsja tuvastatud ohuklastritest koos TA2726-ga, mis on hinnatud pahatahtliku liikluse jaotussüsteemi (TDS) haldajaks. See süsteem võimaldab levitada pahavara, suunates ohustatud veebiliikluse sellistele ohtudele nagu TA2727 ja TA569.

TA2726 ja teiste ohus osalejate vaheline suhe

TA2726 mängib pahavara levitamisel võtmerolli, toimides nii TA2727 kui ka TA569 TDS-ina. Viimane on kurikuulus selle poolest, et juurutab SocGholishi (tuntud ka kui FakeUpdates), JavaScripti-põhise laadija, mis maskeerub ohustatud veebisaitidel brauseri värskendusena. Alates 2022. aasta septembrist on TA2726 hõlbustanud nende rahaliselt motiveeritud ohus osalejate liikluse ümbersuunamist, muutes selle küberohtude maastikul oluliseks osalejaks.

Võltsvärskendused ja geograafiliselt sihitud kasulikud koormused

Nii TA2727 kui ka TA569 levitavad oma ohte veebisaitide kaudu, kuhu on sisestatud rikutud JavaScript. Need ohustatud saidid meelitavad kasutajaid alla laadima võltsitud brauseri värskendusi Google Chrome'i või Microsoft Edge'i jaoks. TA2727 kasutab aga rohkem kohandatud lähenemisviisi, edastades konkreetse pahavara saaja asukoha ja seadme tüübi alusel.

Näiteks kui Windowsi kasutaja Prantsusmaal või Ühendkuningriigis külastab nakatunud veebisaiti, võidakse tal paluda alla laadida MSI installifail, mis käivitab Hijack Loaderi (DOILoader), mis seejärel tarnib Lumma Stealeri. Sama skeemi kaudu ümbersuunatud Androidi kasutajad võivad endale teadmata alla laadida kurikuulsa pangandustroojalase Marcheri, mis on tegutsenud juba üle kümne aasta.

Rünnaku laiendamine macOS-i kasutajatele

Alates 2025. aasta jaanuarist on TA2727 laiendanud oma kampaaniat, et sihtida väljaspool Põhja-Ameerikat elavaid macOS-i kasutajaid. Need kasutajad suunatakse ümber petturlikele värskenduslehtedele, mis käivitavad äsja tuvastatud teabevarasti FrigidStealeri allalaadimise.

Apple'i Gatekeeperi turvafunktsioonist mööda hiilimiseks nõuab FrigidStealeri installija, et kasutajad käivitaksid allkirjastamata rakenduse käsitsi. Pärast käivitamist installib manustatud Mach-O täitmisfail ohu, mis tähistab macOS-i sihitud küberkuritegevuse olulist eskaleerumist.

Kuidas FrigidStealer töötab

FrigidStealer on loodud Go programmeerimiskeelt kasutades ja sellel on ad-hoc allkirjastamine. Eelkõige kasutab see WailsIO projekti, mis võimaldab kasutaja brauseris sisu renderdada. See taktika suurendab illusiooni, et pahatahtlik installija on seaduslik, suurendades eduka nakatumise tõenäosust.

Pärast käivitamist kasutab FrigidStealer AppleScripti kasutaja süsteemiparooli küsimiseks, andes talle kõrgemad õigused. Selle juurdepääsuga võib oht koguda faile, tundlikke brauseriandmeid, Apple'i märkmeid ja krüptovaluutaga seotud teavet, seades mõjutatud kasutajatele märkimisväärse ohu.

Suurem pilt: veebipõhised pahavarakampaaniad

Ohustatud veebisaitide kasutamine pahavara edastamise mehhanismidena toob esile küberohtude jätkuva suundumuse. Ründajad kohandavad kasulikke koormusi sihtmärgi operatsioonisüsteemi ja geograafilise asukoha alusel, tagades maksimaalse mõju. Kuigi macOS-i süsteemid on Windowsiga võrreldes ettevõtete keskkondades vähem levinud, tugevdab see kampaania macOS-i kasutajate kasvavat vajadust olla valvel arenevate küberohtude suhtes.

Trendikas

Enim vaadatud

Laadimine...