FrigidStealer Stealer
A kiberbiztonsági kutatók új kampányt fedeztek fel, amely webinjekciókat telepít a FrigidStealer néven ismert, korábban azonosítatlan macOS fenyegetés terjesztésére. A kampányt összefüggésbe hozták a TA2727 névre keresztelt fenyegetés szereplővel, akit a Windowst (Lumma Stealer, DeerStealer) és az Androidot ( Marcher ) célzó információlopó fenyegetésekkel is kapcsolatba hoztak.
Tartalomjegyzék
A TA2727 és szerepe a fenyegető tájban
A TA2727 arról ismert, hogy hamis frissítő csalikat használ különféle rosszindulatú rakományok terjesztésére. Ez az egyik újonnan azonosított fenyegetettségi klaszter a TA2726 mellett, amely a rosszindulatú forgalomelosztó rendszert (TDS) üzemeltető szereplő. Ez a rendszer lehetővé teszi a rosszindulatú programok terjedését azáltal, hogy a feltört webes forgalmat olyan fenyegetett szereplőkre irányítja, mint a TA2727 és TA569.
A TA2726 és más fenyegető szereplők közötti kapcsolat
A TA2726 kulcsszerepet játszik a rosszindulatú programok terjesztésében, mivel mind a TA2727, mind a TA569 esetében TDS-ként működik. Ez utóbbi arról híres, hogy a SocGholish-t (más néven FakeUpdates-t) telepíti, egy JavaScript-alapú betöltőt, amely böngészőfrissítésnek álcázza magát a feltört webhelyeken. Legalább 2022 szeptembere óta a TA2726 megkönnyíti a forgalom átirányítását ezeknek a pénzügyileg motivált fenyegetett szereplőknek, így a kiberfenyegetések világának alapvető szereplőjévé vált.
Hamis frissítések és földrajzilag célzott hasznos terhek
Mind a TA2727, mind a TA569 sérült JavaScriptet tartalmazó webhelyeken keresztül terjeszti fenyegetéseit. Ezek a feltört webhelyek ráveszik a felhasználókat, hogy hamis böngészőfrissítéseket töltsenek le a Google Chrome vagy a Microsoft Edge számára. A TA2727 azonban személyre szabottabb megközelítést alkalmaz, és a címzett helye és eszköztípusa alapján specifikus kártevőket szállít.
Például, ha egy Windows-felhasználó Franciaországban vagy az Egyesült Királyságban meglátogat egy fertőzött webhelyet, a rendszer felkérheti egy MSI telepítőfájl letöltésére, amely elindítja a Hijack Loader (DOILoader) programot, amely aztán a Lumma Stealert szállítja. Hasonlóképpen, az ugyanazon a sémán keresztül átirányított Android-felhasználók tudtukon kívül letölthetik a Marcher nevű hírhedt banki trójai programot, amely több mint egy évtizede működik.
A támadás kiterjesztése a macOS felhasználókra
2025 januárjától a TA2727 kiterjesztette kampányát az Észak-Amerikán kívül élő macOS felhasználókra. Ezeket a felhasználókat átirányítják olyan csalárd frissítési oldalakra, amelyek elindítják a FrigidStealer, egy újonnan azonosított információlopó letöltését.
Az Apple Gatekeeper biztonsági funkciójának megkerüléséhez a FrigidStealer telepítője megköveteli a felhasználóktól, hogy manuálisan indítsák el az aláíratlan alkalmazást. A végrehajtást követően a beágyazott Mach-O végrehajtható fájl telepíti a fenyegetést, ami jelentős eszkalációt jelez a macOS-célú kiberbűnözésben.
Hogyan működik a FrigidStealer
A FrigidStealer a Go programozási nyelvre épül, és ad-hoc aláírást is kínál. Nevezetesen a WailsIO projektet használja, amely lehetővé teszi a tartalom megjelenítését a felhasználó böngészőjében. Ez a taktika fokozza azt az illúziót, hogy a rosszindulatú telepítő jogos, növelve a sikeres fertőzés valószínűségét.
A végrehajtást követően a FrigidStealer az AppleScript segítségével kéri le a felhasználó rendszerjelszavát, magasabb jogosultságokat biztosítva neki. Ezzel a hozzáféréssel a fenyegetés fájlokat, érzékeny böngészőadatokat, Apple Notes-okat és kriptovalutákkal kapcsolatos információkat gyűjthet be, ami jelentős kockázatot jelent az érintett felhasználók számára.
A nagyobb kép: webalapú rosszindulatú programok elleni kampányok
A feltört webhelyek rosszindulatú programok kézbesítési mechanizmusaként való használata rávilágít a kiberfenyegetések folyamatos trendjére. A támadók a cél operációs rendszere és földrajzi elhelyezkedése alapján testreszabják a hasznos terheket, így biztosítva a maximális hatást. Bár a macOS rendszerek továbbra is kevésbé gyakoriak a vállalati környezetben a Windowshoz képest, ez a kampány megerősíti a macOS-felhasználók növekvő igényét, hogy ébernek maradjanak a fejlődő kiberfenyegetésekkel szemben.
