FrigidStealer Stealer
Kiberdrošības pētnieki ir atklājuši jaunu kampaņu, kurā tiek izmantotas tīmekļa injekcijas, lai izplatītu iepriekš neidentificētu MacOS draudu, kas pazīstams kā FrigidStealer. Kampaņa ir saistīta ar draudu dalībnieku ar nosaukumu TA2727, kurš ir saistīts arī ar informācijas zagšanas draudiem, kuru mērķauditorija ir Windows (Lumma Stealer, DeerStealer) un Android ( Marcher ).
Satura rādītājs
TA2727 un tā loma draudu ainavā
TA2727 ir pazīstams ar viltus atjaunināšanas vilinājumu izmantošanu, lai izplatītu dažādas ļaunprātīgas kravas. Tā ir viena no nesen identificētajām draudu kopām līdzās TA2726, kas ir iesaistīts ļaunprātīgas satiksmes sadales sistēmas (TDS) darbībā. Šī sistēma nodrošina ļaunprātīgas programmatūras izplatību, novirzot apdraudētu tīmekļa trafiku uz tādiem apdraudējuma dalībniekiem kā TA2727 un TA569.
Attiecības starp TA2726 un citiem draudu dalībniekiem
TA2726 spēlē galveno lomu ļaunprātīgas programmatūras izplatīšanā, darbojoties kā TDS gan TA2727, gan TA569. Pēdējais ir bēdīgi slavens ar SocGholish (pazīstams arī kā FakeUpdates), uz JavaScript balstīta ielādēja izvietošanu, kas tiek maskēts kā pārlūkprogrammas atjauninājums apdraudētās vietnēs. Vismaz kopš 2022. gada septembra TA2726 ir veicinājis satiksmes novirzīšanu šiem finansiāli motivētajiem apdraudējuma dalībniekiem, padarot to par būtisku spēlētāju kiberdraudu jomā.
Viltus atjauninājumi un ģeogrāfiski mērķētas kravas
Gan TA2727, gan TA569 izplata savus draudus, izmantojot vietnes, kurās ir ievadīts bojāts JavaScript. Šīs apdraudētās vietnes mudina lietotājus lejupielādēt viltotus pārlūkprogrammas atjauninājumus pārlūkprogrammai Google Chrome vai Microsoft Edge. Tomēr TA2727 izmanto vairāk pielāgotu pieeju, piegādājot īpašu ļaunprātīgu programmatūru, pamatojoties uz saņēmēja atrašanās vietu un ierīces veidu.
Piemēram, ja Windows lietotājs Francijā vai Apvienotajā Karalistē apmeklē inficētu vietni, viņam var tikt piedāvāts lejupielādēt MSI instalēšanas failu, kas palaiž Hijack Loader (DOILoader), kas pēc tam nodrošina Lumma Stealer. Līdzīgi Android lietotāji, kuri ir novirzīti, izmantojot to pašu shēmu, var neapzināti lejupielādēt Marcher — bēdīgi slaveno banku Trojas zirgu, kas darbojas vairāk nekā desmit gadus.
Uzbrukuma paplašināšana līdz macOS lietotājiem
No 2025. gada janvāra TA2727 ir paplašinājusi savu kampaņu, lai mērķētu uz MacOS lietotājiem, kuri dzīvo ārpus Ziemeļamerikas. Šie lietotāji tiek novirzīti uz krāpnieciskām atjaunināšanas lapām, kas aktivizē FrigidStealer — nesen identificēta informācijas zagļa lejupielādi.
Lai apietu Apple Gatekeeper drošības līdzekli, FrigidStealer instalētājs pieprasa lietotājiem manuāli palaist neparakstīto lietojumprogrammu. Kad tas ir izpildīts, iegultais Mach-O izpildāmais fails instalē draudus, iezīmējot būtisku uz macOS mērķētu kibernoziegumu eskalāciju.
Kā darbojas FrigidStealer
FrigidStealer ir izveidots, izmantojot Go programmēšanas valodu, un tajā ir ad-hoc parakstīšana. Jo īpaši tas izmanto WailsIO projektu, kas ļauj renderēt saturu lietotāja pārlūkprogrammā. Šī taktika pastiprina ilūziju, ka ļaunprātīgais instalētājs ir likumīgs, palielinot veiksmīgas inficēšanās iespējamību.
Pēc izpildes FrigidStealer izmanto AppleScript, lai pieprasītu lietotāja sistēmas paroli, piešķirot tam paaugstinātas privilēģijas. Izmantojot šo piekļuvi, draudi var ievākt failus, sensitīvus pārlūkprogrammas datus, Apple piezīmes un ar kriptovalūtu saistītu informāciju, radot būtisku risku ietekmētajiem lietotājiem.
Lielāks attēls: tīmeklī balstītas ļaunprātīgas programmatūras kampaņas
Kompromitētu vietņu izmantošana kā ļaunprātīgas programmatūras piegādes mehānismi norāda uz pastāvīgo kiberdraudu tendenci. Uzbrucēji pielāgo lietderīgās slodzes, pamatojoties uz mērķa operētājsistēmu un ģeogrāfisko atrašanās vietu, nodrošinot maksimālu ietekmi. Lai gan macOS sistēmas joprojām ir mazāk izplatītas uzņēmumu vidē, salīdzinot ar Windows, šī kampaņa pastiprina pieaugošo nepieciešamību MacOS lietotājiem saglabāt modrību pret mainīgiem kiberdraudiem.
