FrigidStealer vagystė
Kibernetinio saugumo tyrėjai atskleidė naują kampaniją, kurioje įdiegtos žiniatinklio injekcijos, skirtos platinti anksčiau nenustatytą „MacOS“ grėsmę, žinomą kaip „FrigidStealer“. Kampanija buvo siejama su grėsmių veikėju, pavadintu TA2727, kuris taip pat buvo siejamas su informacijos vagystės grėsmėmis, nukreiptomis į „Windows“ („Lumma Stealer“, „DeerStealer“) ir „Android“ („ Marcher “).
Turinys
TA2727 ir jo vaidmuo grėsmės kraštovaizdyje
TA2727 yra žinomas dėl to, kad naudoja netikrus atnaujinimo masalus, kad platintų įvairius kenkėjiškus krovinius. Tai yra viena iš naujai nustatytų grėsmių grupių kartu su TA2726 – veikėju, kuris, kaip nustatyta, valdo kenkėjišką srauto paskirstymo sistemą (TDS). Ši sistema leidžia skleisti kenkėjiškas programas nukreipdama pažeistą žiniatinklio srautą į grėsmės veikėjus, tokius kaip TA2727 ir TA569.
Ryšys tarp TA2726 ir kitų grėsmės veikėjų
TA2726 vaidina pagrindinį vaidmenį platinant kenkėjiškas programas, veikdamas kaip TA2727 ir TA569 TDS. Pastarasis yra pagarsėjęs tuo, kad diegia „SocGholish“ (taip pat žinomas kaip „FakeUpdates“) – „JavaScript“ pagrindu sukurtą įkroviklį, kuris slepiasi kaip naršyklės naujinys pažeistose svetainėse. Bent jau nuo 2022 m. rugsėjo mėn. TA2726 palengvino srauto nukreipimą šiems finansiškai motyvuotiems grėsmės veikėjams, todėl jis tapo svarbiu kibernetinių grėsmių kraštovaizdžio veikėju.
Suklastoti atnaujinimai ir pagal geografinę vietovę nukreiptos naudingos apkrovos
Tiek TA2727, tiek TA569 platina savo grėsmes per svetaines, kuriose yra sugadintas JavaScript. Šios pažeistos svetainės priverčia vartotojus atsisiųsti netikrus „Google Chrome“ arba „Microsoft Edge“ naršyklės naujinius. Tačiau TA2727 taiko labiau pritaikytą metodą ir pateikia konkrečią kenkėjišką programą pagal gavėjo vietą ir įrenginio tipą.
Pavyzdžiui, jei „Windows“ vartotojas Prancūzijoje arba JK apsilanko užkrėstoje svetainėje, jis gali būti paragintas atsisiųsti MSI diegimo failą, kuris paleidžia „Hijack Loader“ (DOILoader), kuris vėliau pristato „Lumma Stealer“. Panašiai per tą pačią schemą nukreipti „Android“ naudotojai gali nesąmoningai atsisiųsti „Marcher“ – liūdnai pagarsėjusį bankų Trojos arklį, kuris veikia daugiau nei dešimtmetį.
Atakos išplėtimas iki „MacOS“ naudotojų
Nuo 2025 m. sausio mėn. TA2727 išplėtė savo kampaniją, kad būtų taikoma „macOS“ naudotojams, gyvenantiems už Šiaurės Amerikos ribų. Šie vartotojai nukreipiami į nesąžiningų naujinimų puslapius, kurie suaktyvina FrigidStealer, naujai identifikuotos informacijos vagies, atsisiuntimą.
Norėdami apeiti Apple Gatekeeper saugos funkciją, FrigidStealer diegimo programa reikalauja, kad vartotojai rankiniu būdu paleistų nepasirašytą programą. Įvykdžius įdėtąjį „Mach-O“ vykdomąjį failą įdiegiama grėsmė, o tai reiškia reikšmingą „MacOS“ taikomų kibernetinių nusikaltimų eskalaciją.
Kaip veikia FrigidStealer
„FrigidStealer“ sukurta naudojant „Go“ programavimo kalbą ir turi ad hoc pasirašymą. Pažymėtina, kad jis naudoja WailsIO projektą, kuris leidžia pateikti turinį vartotojo naršyklėje. Ši taktika sustiprina iliuziją, kad kenkėjiškas diegimo programa yra teisėta, padidindama sėkmingo užsikrėtimo tikimybę.
Įvykdžiusi „FrigidStealer“ naudoja „AppleScript“, kad paprašytų vartotojo sistemos slaptažodžio, suteikdama jam aukštesnes teises. Naudojant šią prieigą, grėsmė gali surinkti failus, slaptus naršyklės duomenis, „Apple Notes“ ir su kriptovaliuta susijusią informaciją, o tai sukels didelę riziką paveiktiems vartotojams.
Didesnis vaizdas: žiniatinkliu pagrįstos kenkėjiškų programų kampanijos
Pažeistų svetainių naudojimas kaip kenkėjiškų programų pristatymo mechanizmas rodo nuolatinę kibernetinių grėsmių tendenciją. Užpuolikai pritaiko naudingus krovinius pagal taikinio operacinę sistemą ir geografinę vietą, užtikrindami maksimalų poveikį. Nors „macOS“ sistemos tebėra mažiau paplitusios įmonės aplinkoje, palyginti su „Windows“, ši kampanija sustiprina didėjantį „macOS“ naudotojų poreikį išlikti budriems dėl besivystančių kibernetinių grėsmių.
