FrigidStealer Stealer

محققان امنیت سایبری کمپین جدیدی را کشف کرده اند که از تزریق وب برای توزیع یک تهدید MacOS قبلاً ناشناخته به نام FrigidStealer استفاده می کند. این کمپین با یک بازیگر تهدید به نام TA2727 همراه بوده است، که همچنین با تهدیدات سرقت اطلاعات که ویندوز (Lumma Stealer، DeerStealer) و Android ( Marcher ) را هدف قرار می دهد، مرتبط بوده است.

TA2727 و نقش آن در چشم انداز تهدید

TA2727 به دلیل استفاده از فریب های به روز رسانی جعلی برای توزیع بارهای مخرب مختلف شناخته شده است. این یکی از خوشه های تهدید به تازگی شناسایی شده در کنار TA2726 است، بازیگری که ارزیابی می شود یک سیستم توزیع ترافیک مخرب (TDS) را اجرا کند. این سیستم با هدایت ترافیک وب به خطر افتاده به سمت عوامل تهدید مانند TA2727 و TA569، انتشار بدافزار را امکان پذیر می کند.

رابطه بین TA2726 و سایر عوامل تهدید

TA2726 نقش کلیدی در توزیع بدافزار با عمل به عنوان TDS برای هر دو TA2727 و TA569 ایفا می کند. مورد دوم به دلیل استقرار SocGholish (همچنین به عنوان FakeUpdates) شناخته می شود، یک لودر مبتنی بر جاوا اسکریپت که به عنوان یک به روز رسانی مرورگر در وب سایت های در معرض خطر ظاهر می شود. حداقل از سپتامبر 2022، TA2726 تغییر مسیر ترافیک را برای این عوامل تهدید با انگیزه مالی تسهیل کرده است، و آن را به یک بازیگر اساسی در چشم انداز تهدید سایبری تبدیل کرده است.

به روز رسانی های جعلی و بارهای هدفمند جغرافیایی

هر دو TA2727 و TA569 تهدیدات خود را از طریق وب سایت های تزریق شده با جاوا اسکریپت خراب توزیع می کنند. این سایت‌های در معرض خطر، کاربران را فریب می‌دهند تا به‌روزرسانی‌های جعلی مرورگر را برای Google Chrome یا Microsoft Edge دانلود کنند. با این حال، TA2727 از یک رویکرد مناسب‌تر استفاده می‌کند و بدافزار خاصی را بر اساس موقعیت مکانی و نوع دستگاه گیرنده ارائه می‌کند.

به عنوان مثال، اگر یک کاربر ویندوز در فرانسه یا بریتانیا از یک وب سایت آلوده بازدید کند، ممکن است از او خواسته شود که یک فایل نصب کننده MSI را دانلود کند که Hijack Loader (DOILoader) را راه اندازی می کند، که سپس Lumma Stealer را ارائه می دهد. به طور مشابه، کاربران اندرویدی که از طریق همان طرح هدایت می شوند، ممکن است به طور ناآگاهانه Marcher، یک تروجان بانکی بدنام را دانلود کنند که بیش از یک دهه فعال بوده است.

گسترش حمله به کاربران macOS

از ژانویه 2025، TA2727 کمپین خود را برای هدف قرار دادن کاربران macOS ساکن خارج از آمریکای شمالی گسترش داده است. این کاربران به صفحات به‌روزرسانی جعلی هدایت می‌شوند که باعث دانلود FrigidStealer، یک دزد اطلاعات تازه شناسایی شده می‌شود.

برای دور زدن ویژگی امنیتی Gatekeeper اپل، نصب کننده FrigidStealer از کاربران می خواهد که برنامه بدون امضا را به صورت دستی راه اندازی کنند. پس از اجرا، فایل اجرایی Mach-O تعبیه شده تهدید را نصب می کند و تشدید قابل توجهی را در جرایم سایبری هدفمند macOS نشان می دهد.

نحوه عملکرد FrigidStealer

FrigidStealer با استفاده از زبان برنامه نویسی Go ساخته شده است و دارای امضای ad-hoc است. قابل ذکر است که از پروژه WailsIO استفاده می کند که امکان ارائه محتوا در مرورگر کاربر را فراهم می کند. این تاکتیک این توهم را تقویت می کند که نصب کننده مخرب قانونی است و احتمال عفونت موفقیت آمیز را افزایش می دهد.

پس از اجرا، FrigidStealer از AppleScript برای درخواست رمز عبور سیستم کاربر استفاده می کند و به آن امتیازات بالاتری می دهد. با این دسترسی، این تهدید می‌تواند فایل‌ها، داده‌های حساس مرورگر، یادداشت‌های اپل و اطلاعات مربوط به ارزهای دیجیتال را جمع‌آوری کند و خطر قابل‌توجهی را برای کاربران آسیب‌دیده ایجاد کند.

تصویر بزرگتر: کمپین های بدافزار مبتنی بر وب

استفاده از وب‌سایت‌های در معرض خطر به‌عنوان مکانیسم‌های ارسال بدافزار، روند مداوم تهدیدات سایبری را برجسته می‌کند. مهاجمان بر اساس سیستم عامل و موقعیت جغرافیایی هدف، محموله‌ها را سفارشی می‌کنند و حداکثر تأثیر را تضمین می‌کنند. اگرچه سیستم‌های macOS در محیط‌های سازمانی در مقایسه با ویندوز کمتر رایج هستند، این کمپین نیاز روزافزون کاربران macOS را به هوشیاری در برابر تهدیدات سایبری در حال تکامل تقویت می‌کند.