FrigidStealer Stealer
I ricercatori di sicurezza informatica hanno scoperto una nuova campagna che distribuisce Web inject per distribuire una minaccia macOS precedentemente non identificata nota come FrigidStealer. La campagna è stata associata a un attore della minaccia soprannominato TA2727, che è stato anche associato a minacce di furto di informazioni che prendono di mira Windows (Lumma Stealer, DeerStealer) e Android ( Marcher ).
Sommario
TA2727 e il suo ruolo nel panorama delle minacce
TA2727 è noto per l'uso di falsi esche di aggiornamento per distribuire vari payload dannosi. È uno dei cluster di minacce recentemente identificati insieme a TA2726, un attore valutato per gestire un sistema di distribuzione del traffico dannoso (TDS). Questo sistema consente la diffusione di malware indirizzando il traffico web compromesso ad attori di minacce come TA2727 e TA569.
La relazione tra TA2726 e altri attori della minaccia
TA2726 svolge un ruolo chiave nella distribuzione del malware, fungendo da TDS sia per TA2727 che per TA569. Quest'ultimo è noto per aver distribuito SocGholish (noto anche come FakeUpdates), un loader basato su JavaScript che si spaccia per un aggiornamento del browser su siti Web compromessi. Da almeno settembre 2022, TA2726 ha facilitato il reindirizzamento del traffico per questi attori delle minacce motivati finanziariamente, diventando un attore essenziale nel panorama delle minacce informatiche.
Aggiornamenti falsi e payload geo-mirati
Sia TA2727 che TA569 distribuiscono le loro minacce tramite siti Web iniettati con JavaScript corrotto. Questi siti compromessi ingannano gli utenti inducendoli a scaricare falsi aggiornamenti del browser per Google Chrome o Microsoft Edge. Tuttavia, TA2727 impiega un approccio più personalizzato, inviando malware specifici in base alla posizione del destinatario e al tipo di dispositivo.
Ad esempio, se un utente Windows in Francia o nel Regno Unito visita un sito Web infetto, potrebbe essere invitato a scaricare un file di installazione MSI che avvia Hijack Loader (DOILoader), che quindi distribuisce Lumma Stealer. Allo stesso modo, gli utenti Android reindirizzati tramite lo stesso schema potrebbero scaricare inconsapevolmente Marcher, un famigerato Trojan bancario attivo da oltre un decennio.
Estensione dell’attacco agli utenti macOS
A partire da gennaio 2025, TA2727 ha ampliato la sua campagna per colpire gli utenti macOS residenti al di fuori del Nord America. Questi utenti vengono reindirizzati a pagine di aggiornamento fraudolente che attivano il download di FrigidStealer, un ladro di informazioni di recente identificazione.
Per aggirare la funzionalità di sicurezza Gatekeeper di Apple, l'installer FrigidStealer richiede agli utenti di avviare manualmente l'applicazione non firmata. Una volta eseguito, l'eseguibile Mach-O incorporato installa la minaccia, segnando un'escalation significativa nei crimini informatici mirati a macOS.
Come funziona FrigidStealer
FrigidStealer è stato creato utilizzando il linguaggio di programmazione Go e presenta la firma ad hoc. In particolare, utilizza il progetto WailsIO, che consente di visualizzare i contenuti all'interno del browser dell'utente. Questa tattica rafforza l'illusione che l'installer dannoso sia legittimo, aumentando la probabilità di infezione riuscita.
Una volta eseguito, FrigidStealer usa AppleScript per richiedere la password di sistema dell'utente, concedendogli privilegi elevati. Con questo accesso, la minaccia può raccogliere file, dati sensibili del browser, Apple Notes e informazioni relative alle criptovalute, ponendo un rischio significativo per gli utenti interessati.
Il quadro generale: campagne malware basate sul Web
L'uso di siti Web compromessi come meccanismi di distribuzione di malware evidenzia una tendenza in corso nelle minacce informatiche. Gli aggressori stanno personalizzando i payload in base al sistema operativo e alla posizione geografica del bersaglio, assicurando il massimo impatto. Sebbene i sistemi macOS rimangano meno comuni negli ambienti aziendali rispetto a Windows, questa campagna rafforza la crescente necessità degli utenti macOS di rimanere vigili contro le minacce informatiche in evoluzione.
