FrigidStealer Kradljivac
Istraživači koji se bave kibernetičkom sigurnošću otkrili su novu kampanju koja implementira web injects za distribuciju prethodno neidentificirane macOS prijetnje poznate kao FrigidStealer. Kampanja je povezana s akterom prijetnje zvanim TA2727, koji je također povezan s prijetnjama krađe informacija usmjerenih na Windows (Lumma Stealer, DeerStealer) i Android ( Marcher ).
Sadržaj
TA2727 i njegova uloga u krajoliku prijetnji
TA2727 poznat je po korištenju lažnih mamaca za ažuriranje za distribuciju raznih zlonamjernih sadržaja. To je jedan od novootkrivenih klastera prijetnji uz TA2726, aktera za kojeg je procijenjeno da upravlja zlonamjernim sustavom distribucije prometa (TDS). Ovaj sustav omogućuje širenje zlonamjernog softvera usmjeravanjem ugroženog internetskog prometa na prijetnje kao što su TA2727 i TA569.
Odnos između TA2726 i drugih aktera prijetnje
TA2726 igra ključnu ulogu u distribuciji zlonamjernog softvera djelujući kao TDS za TA2727 i TA569. Potonji je poznat po implementaciji SocGholisha (također poznatog kao FakeUpdates), učitavača temeljenog na JavaScriptu maskiranog kao ažuriranje preglednika na ugroženim web stranicama. Najmanje od rujna 2022., TA2726 je omogućio preusmjeravanje prometa za ove financijski motivirane aktere prijetnji, što ga čini bitnim igračem u krajoliku cyber prijetnji.
Lažna ažuriranja i geo-ciljani sadržaji
I TA2727 i TA569 distribuiraju svoje prijetnje putem web stranica u koje je umetnut oštećeni JavaScript. Ove ugrožene stranice na prevaru navode korisnike da preuzmu lažna ažuriranja preglednika za Google Chrome ili Microsoft Edge. Međutim, TA2727 koristi prilagođeniji pristup, isporučujući određeni zlonamjerni softver na temelju lokacije primatelja i vrste uređaja.
Na primjer, ako korisnik Windowsa u Francuskoj ili Ujedinjenom Kraljevstvu posjeti zaraženu web stranicu, od njega se može tražiti da preuzme MSI instalacijsku datoteku koja pokreće Hijack Loader (DOILoader), koji potom isporučuje Lumma Stealer. Slično tome, korisnici Androida preusmjereni kroz istu shemu mogu nesvjesno preuzeti Marcher, ozloglašeni bankarski trojanac koji je aktivan više od desetljeća.
Širenje napada na korisnike macOS-a
Od siječnja 2025. TA2727 je proširio svoju kampanju na korisnike macOS-a koji žive izvan Sjeverne Amerike. Ti su korisnici preusmjereni na lažne stranice za ažuriranje koje pokreću preuzimanje FrigidStealera, novootkrivenog kradljivca informacija.
Kako bi zaobišao Appleovu sigurnosnu značajku Gatekeeper, instalacijski program FrigidStealer zahtijeva od korisnika da ručno pokrenu nepotpisanu aplikaciju. Nakon što se izvrši, ugrađena Mach-O izvršna datoteka instalira prijetnju, označavajući značajnu eskalaciju kibernetičkog kriminala usmjerenog na macOS.
Kako radi FrigidStealer
FrigidStealer je izgrađen pomoću programskog jezika Go i ima ad-hoc potpisivanje. Značajno, koristi WailsIO projekt, koji omogućuje renderiranje sadržaja unutar korisničkog preglednika. Ova taktika pojačava iluziju da je zlonamjerni instalacijski program legitiman, povećavajući vjerojatnost uspješne infekcije.
Nakon što se izvrši, FrigidStealer koristi AppleScript za traženje sistemske lozinke korisnika, dajući mu povećane privilegije. Ovim pristupom prijetnja može prikupiti datoteke, osjetljive podatke preglednika, Apple Notes i informacije povezane s kriptovalutom, što predstavlja značajan rizik za pogođene korisnike.
Šira slika: kampanje zlonamjernog softvera temeljene na webu
Korištenje kompromitiranih web stranica kao mehanizama za isporuku zlonamjernog softvera naglašava stalni trend cyber prijetnji. Napadači prilagođavaju korisni teret na temelju operacijskog sustava i geografske lokacije mete, osiguravajući maksimalan učinak. Iako su macOS sustavi i dalje rjeđi u poslovnim okruženjima u usporedbi sa Windowsima, ova kampanja pojačava sve veću potrebu da korisnici macOS-a budu oprezni u pogledu kibernetičkih prijetnji koje se razvijaju.
