FrigidStealer Stealer
Kyberturvallisuustutkijat ovat paljastaneet uuden kampanjan, jossa Web-injektiot levittävät aiemmin tunnistamatonta macOS-uhkaa, joka tunnetaan nimellä FrigidStealer. Kampanja on liitetty uhkatoimijaan nimeltä TA2727, joka on myös yhdistetty Windowsiin (Lumma Stealer, DeerStealer) ja Androidiin ( Marcher ) kohdistuviin tietovarastouhkiin.
Sisällysluettelo
TA2727 ja sen rooli uhkamaisemassa
TA2727 tunnetaan väärennettyjen päivitysuistimien käyttämisestä erilaisten haitallisten hyötykuormien levittämiseen. Se on yksi äskettäin tunnistetuista uhkaklustereista TA2726:n rinnalla, toimijalla, jonka arvioitiin käyttävän haitallista liikenteen jakelujärjestelmää (TDS). Tämä järjestelmä mahdollistaa haittaohjelmien leviämisen ohjaamalla vaarantunut verkkoliikenne uhkatoimijoille, kuten TA2727 ja TA569.
TA2726:n ja muiden uhkatoimijoiden välinen suhde
TA2726 on avainrooli haittaohjelmien jakelussa toimimalla TDS:nä sekä TA2727:lle että TA569:lle. Jälkimmäinen on pahamaineinen SocGholishin (tunnetaan myös nimellä FakeUpdates), JavaScript-pohjainen latausohjelma, joka naamioituu selainpäivitykseksi vaarantuneille verkkosivustoille. Ainakin syyskuusta 2022 lähtien TA2726 on helpottanut liikenteen uudelleenohjausta näille taloudellisesti motivoituneille uhkatoimijoille, tehden siitä keskeisen toimijan kyberuhkamaailmassa.
Väärennetyt päivitykset ja maantieteellisesti kohdistetut hyötykuormat
Sekä TA2727 että TA569 levittävät uhkiaan verkkosivustojen kautta, joihin on lisätty vioittunutta JavaScriptiä. Nämä vaarantuneet sivustot huijaavat käyttäjiä lataamaan väärennettyjä selainpäivityksiä Google Chromelle tai Microsoft Edgelle. TA2727 käyttää kuitenkin räätälöidympää lähestymistapaa ja toimittaa tiettyjä haittaohjelmia vastaanottajan sijainnin ja laitetyypin perusteella.
Jos Windows-käyttäjä esimerkiksi Ranskassa tai Isossa-Britanniassa vierailee tartunnan saaneella verkkosivustolla, häntä voidaan pyytää lataamaan MSI-asennustiedosto, joka käynnistää Hijack Loaderin (DOILoader), joka toimittaa Lumma Stealer -sovelluksen. Samoin saman järjestelmän kautta uudelleenohjatut Android-käyttäjät voivat tietämättään ladata Marcherin, pahamaineisen pankkitroijalaisen, joka on ollut aktiivinen yli vuosikymmenen ajan.
Hyökkäyksen laajentaminen macOS-käyttäjiin
Tammikuusta 2025 alkaen TA2727 on laajentanut kampanjaansa kohdistamaan macOS-käyttäjiin, jotka asuvat Pohjois-Amerikan ulkopuolella. Nämä käyttäjät ohjataan vilpillisille päivityssivuille, jotka käynnistävät äskettäin tunnistetun tietovarastajan FrigidStealer-latauksen.
Applen Gatekeeper-suojausominaisuuden ohittamiseksi FrigidStealer-asennusohjelma vaatii käyttäjiä käynnistämään allekirjoittamattoman sovelluksen manuaalisesti. Kun se on suoritettu, sulautettu Mach-O-suoritettava tiedosto asentaa uhan, mikä merkitsee merkittävää macOS-kohdistetun tietoverkkorikollisuuden eskalaatiota.
Kuinka FrigidStealer toimii
FrigidStealer on rakennettu Go-ohjelmointikielellä ja siinä on ad-hoc-allekirjoitus. Erityisesti se hyödyntää WailsIO-projektia, joka mahdollistaa sisällön renderöinnin käyttäjän selaimessa. Tämä taktiikka lisää illuusiota siitä, että haitallinen asennusohjelma on laillinen, mikä lisää onnistuneen tartunnan todennäköisyyttä.
Kun FrigidStealer on suoritettu, se pyytää AppleScriptin avulla käyttäjän järjestelmäsalasanaa, mikä antaa sille korkeammat oikeudet. Tämän pääsyn avulla uhka voi kerätä tiedostoja, arkaluontoisia selaintietoja, Applen muistiinpanoja ja kryptovaluuttoihin liittyviä tietoja, mikä aiheuttaa merkittävän riskin käyttäjille, joita asia koskee.
Isompi kuva: verkkopohjaiset haittaohjelmakampanjat
Vaarallisten verkkosivustojen käyttö haittaohjelmien jakelumekanismeina korostaa jatkuvaa kyberuhkien kehitystä. Hyökkääjät mukauttavat hyötykuormia kohteen käyttöjärjestelmän ja maantieteellisen sijainnin perusteella varmistaen maksimaalisen vaikutuksen. Vaikka macOS-järjestelmät ovat edelleen vähemmän yleisiä yritysympäristöissä kuin Windows, tämä kampanja vahvistaa macOS-käyttäjien kasvavaa tarvetta pysyä valppaana kehittyviä kyberuhkia vastaan.
