FrigidStealer Stealer

חוקרי אבטחת סייבר חשפו מסע פרסום חדש שפורס זרימות אינטרנט להפצת איום macOS שלא זוהה בעבר המכונה FrigidStealer. הקמפיין נקשר לשחקן איומים בשם TA2727, אשר נקשר גם לאיומי גניבת מידע המכוונים ל-Windows (Lumma Stealer, DeerStealer) ואנדרואיד ( Marcher ).

TA2727 ותפקידו בנוף האיום

TA2727 ידוע בשימוש בפתיונות עדכון מזויפים כדי להפיץ מטענים זדוניים שונים. זהו אחד מאשכולות האיומים החדשים שזוהו לצד TA2726, שחקן שהוערך כמפעיל מערכת הפצת תעבורה זדונית (TDS). מערכת זו מאפשרת הפצת תוכנות זדוניות על ידי הפניית תעבורת אינטרנט שנפגעה אל גורמי איומים כגון TA2727 ו-TA569.

היחסים בין TA2726 לשחקנים אחרים באיומים

TA2726 ממלא תפקיד מפתח בהפצת תוכנות זדוניות בכך שהוא פועל כ-TDS עבור TA2727 ו-TA569 כאחד. האחרון ידוע לשמצה בשל פריסת SocGholish (הידוע גם בשם FakeUpdates), מטעין מבוסס JavaScript המתחזה לעדכון דפדפן באתרי אינטרנט שנפגעו. מאז ספטמבר 2022 לפחות, TA2726 איפשר הפניית תנועה עבור גורמי האיום הפיננסיים הללו, מה שהופך אותו לשחקן חיוני בנוף איומי הסייבר.

עדכונים מזויפים ומטענים ממוקדים גיאוגרפיים

גם TA2727 וגם TA569 מפיצים את האיומים שלהם דרך אתרי אינטרנט עם JavaScript פגום. אתרים שנפגעו אלה מרמים משתמשים להוריד עדכוני דפדפן מזויפים עבור Google Chrome או Microsoft Edge. עם זאת, TA2727 משתמש בגישה מותאמת יותר, ומספק תוכנה זדונית ספציפית על סמך מיקום הנמען וסוג המכשיר.

לדוגמה, אם משתמש Windows בצרפת או בבריטניה מבקר באתר אינטרנט נגוע, ייתכן שהוא יתבקש להוריד קובץ התקנה של MSI שמפעיל את Hijack Loader (DOILoader), אשר לאחר מכן מספק את Lumma Stealer. באופן דומה, משתמשי אנדרואיד המופנים דרך אותה תוכנית עשויים להוריד ללא ידיעתו את Marcher, טרויאני בנקאי ידוע לשמצה שפעיל כבר למעלה מעשור.

הרחבת ההתקפה למשתמשי macOS

החל מינואר 2025, TA2727 הרחיבה את מסע הפרסום שלה כדי למקד למשתמשי macOS המתגוררים מחוץ לצפון אמריקה. משתמשים אלה מופנים לדפי עדכונים הונאה שמפעילים את ההורדה של FrigidStealer, גונב מידע חדש שזוהה.

כדי לעקוף את תכונת האבטחה Gatekeeper של אפל, מתקין FrigidStealer דורש מהמשתמשים להפעיל את היישום הלא חתום באופן ידני. לאחר הביצוע, קובץ ההפעלה המוטמע של Mach-O מתקין את האיום, מסמן הסלמה משמעותית בפשעי סייבר ממוקדי macOS.

כיצד פועל FrigidStealer

FrigidStealer נבנה באמצעות שפת התכנות Go וכולל חתימה אד-הוק. יש לציין שהוא משתמש בפרויקט WailsIO, המאפשר עיבוד תוכן בדפדפן של המשתמש. טקטיקה זו מגבירה את האשליה שהמתקין הזדוני הוא לגיטימי, ומגדילה את הסבירות להדבקה מוצלחת.

לאחר הביצוע, FrigidStealer משתמש ב-AppleScript כדי לבקש את סיסמת המערכת של המשתמש, ומעניק לו הרשאות מוגברות. עם גישה זו, האיום יכול לאסוף קבצים, נתוני דפדפן רגישים, Apple Notes ומידע הקשור למטבעות קריפטוגרפיים, מהווים סיכון משמעותי למשתמשים המושפעים.

התמונה הגדולה יותר: מסעות פרסום מבוססי אינטרנט של תוכנות זדוניות

השימוש באתרים שנפגעו כמנגנוני אספקת תוכנות זדוניות מדגיש מגמה מתמשכת באיומי סייבר. התוקפים מתאימים אישית את המטענים על סמך מערכת ההפעלה והמיקום הגיאוגרפי של היעד, ומבטיחים השפעה מקסימלית. למרות שמערכות macOS נותרו פחות נפוצות בסביבות ארגוניות בהשוואה ל-Windows, מסע פרסום זה מחזק את הצורך הגובר של משתמשי macOS להישאר ערניים מפני איומי סייבר מתפתחים.