FrigidStealer Stealer
साइबरसिक्यूरिटी शोधकर्ताओं ने एक नए अभियान का खुलासा किया है, जिसमें फ्रिगिडस्टीलर नामक पहले से अज्ञात मैकओएस खतरे को वितरित करने के लिए वेब इंजेक्ट का उपयोग किया जा रहा है। यह अभियान TA2727 नामक एक खतरे वाले अभिनेता से जुड़ा हुआ है, जो विंडोज (लुम्मा स्टीलर, डियरस्टीलर) और एंड्रॉइड ( मार्चर ) को लक्षित करके सूचना-चोरी करने वाले खतरों से भी जुड़ा हुआ है।
विषयसूची
TA2727 और खतरे के परिदृश्य में इसकी भूमिका
TA2727 को विभिन्न दुर्भावनापूर्ण पेलोड वितरित करने के लिए नकली अपडेट लालच का उपयोग करने के लिए जाना जाता है। यह TA2726 के साथ-साथ नए पहचाने गए खतरे वाले समूहों में से एक है, एक अभिनेता जिसे दुर्भावनापूर्ण ट्रैफ़िक वितरण प्रणाली (TDS) संचालित करने के लिए मूल्यांकन किया गया है। यह सिस्टम TA2727 और TA569 जैसे खतरे वाले अभिनेताओं को समझौता किए गए वेब ट्रैफ़िक को निर्देशित करके मैलवेयर के प्रसार को सक्षम बनाता है।
TA2726 और अन्य ख़तरा पैदा करने वाले तत्वों के बीच संबंध
TA2726 TA2727 और TA569 दोनों के लिए TDS के रूप में कार्य करके मैलवेयर वितरण में महत्वपूर्ण भूमिका निभाता है। बाद वाला SocGholish (जिसे FakeUpdates के रूप में भी जाना जाता है) को तैनात करने के लिए कुख्यात है, जो एक जावास्क्रिप्ट-आधारित लोडर है जो समझौता की गई वेबसाइटों पर ब्राउज़र अपडेट के रूप में काम करता है। कम से कम सितंबर 2022 से, TA2726 ने इन वित्तीय रूप से प्रेरित खतरे वाले अभिनेताओं के लिए ट्रैफ़िक पुनर्निर्देशन की सुविधा प्रदान की है, जिससे यह साइबर खतरे के परिदृश्य में एक आवश्यक खिलाड़ी बन गया है।
फर्जी अपडेट और भू-लक्षित पेलोड
TA2727 और TA569 दोनों ही भ्रष्ट जावास्क्रिप्ट से युक्त वेबसाइटों के माध्यम से अपने खतरों को वितरित करते हैं। ये समझौता किए गए साइट उपयोगकर्ताओं को Google Chrome या Microsoft Edge के लिए नकली ब्राउज़र अपडेट डाउनलोड करने के लिए प्रेरित करते हैं। हालाँकि, TA2727 एक अधिक अनुकूलित दृष्टिकोण का उपयोग करता है, जो प्राप्तकर्ता के स्थान और डिवाइस प्रकार के आधार पर विशिष्ट मैलवेयर वितरित करता है।
उदाहरण के लिए, यदि फ्रांस या यू.के. में कोई विंडोज उपयोगकर्ता किसी संक्रमित वेबसाइट पर जाता है, तो उसे MSI इंस्टॉलर फ़ाइल डाउनलोड करने के लिए कहा जा सकता है जो हाईजैक लोडर (DOILoader) लॉन्च करता है, जो फिर लुम्मा स्टीलर डिलीवर करता है। इसी तरह, उसी योजना के माध्यम से पुनर्निर्देशित किए गए एंड्रॉइड उपयोगकर्ता अनजाने में मार्चर डाउनलोड कर सकते हैं, जो एक कुख्यात बैंकिंग ट्रोजन है जो एक दशक से अधिक समय से सक्रिय है।
मैकओएस उपयोगकर्ताओं पर आक्रमण का विस्तार
जनवरी 2025 तक, TA2727 ने उत्तरी अमेरिका के बाहर रहने वाले macOS उपयोगकर्ताओं को लक्षित करने के लिए अपने अभियान का विस्तार किया है। इन उपयोगकर्ताओं को धोखाधड़ी वाले अपडेट पृष्ठों पर पुनर्निर्देशित किया जाता है जो नए पहचाने गए सूचना चोर, FrigidStealer के डाउनलोड को ट्रिगर करते हैं।
Apple के Gatekeeper सुरक्षा फीचर को बायपास करने के लिए, FrigidStealer इंस्टॉलर को उपयोगकर्ताओं को मैन्युअल रूप से अनसाइन किए गए एप्लिकेशन को लॉन्च करने की आवश्यकता होती है। एक बार निष्पादित होने के बाद, एम्बेडेड Mach-O एक्जीक्यूटेबल खतरे को इंस्टॉल करता है, जो macOS-लक्षित साइबर अपराध में एक महत्वपूर्ण वृद्धि को दर्शाता है।
फ्रिगिडस्टीलर कैसे काम करता है
फ्रिगिडस्टीलर को गो प्रोग्रामिंग भाषा का उपयोग करके बनाया गया है और इसमें एड-हॉक साइनिंग की सुविधा है। विशेष रूप से, यह WailsIO प्रोजेक्ट का उपयोग करता है, जो उपयोगकर्ता के ब्राउज़र के भीतर सामग्री को प्रस्तुत करने में सक्षम बनाता है। यह युक्ति इस भ्रम को बढ़ाती है कि दुर्भावनापूर्ण इंस्टॉलर वैध है, जिससे सफल संक्रमण की संभावना बढ़ जाती है।
एक बार निष्पादित होने के बाद, फ्रिगिडस्टीलर उपयोगकर्ता के सिस्टम पासवर्ड का अनुरोध करने के लिए AppleScript का उपयोग करता है, जिससे उसे उन्नत विशेषाधिकार प्राप्त होते हैं। इस पहुँच के साथ, खतरा फ़ाइलों, संवेदनशील ब्राउज़र डेटा, Apple नोट्स और क्रिप्टोकरेंसी से संबंधित जानकारी को चुरा सकता है, जिससे प्रभावित उपयोगकर्ताओं के लिए एक महत्वपूर्ण जोखिम पैदा हो सकता है।
बड़ी तस्वीर: वेब-आधारित मैलवेयर अभियान
मैलवेयर डिलीवरी तंत्र के रूप में समझौता की गई वेबसाइटों का उपयोग साइबर खतरों में चल रही प्रवृत्ति को उजागर करता है। हमलावर लक्ष्य के ऑपरेटिंग सिस्टम और भौगोलिक स्थान के आधार पर पेलोड को अनुकूलित कर रहे हैं, जिससे अधिकतम प्रभाव सुनिश्चित होता है। हालाँकि विंडोज़ की तुलना में एंटरप्राइज़ वातावरण में macOS सिस्टम कम आम हैं, लेकिन यह अभियान macOS उपयोगकर्ताओं के लिए साइबर खतरों के प्रति सतर्क रहने की बढ़ती आवश्यकता को पुष्ट करता है।
