Pencuri FrigidStealer
Penyelidik keselamatan siber telah menemui kempen baharu yang menggunakan suntikan Web untuk mengedarkan ancaman macOS yang tidak dikenal pasti sebelum ini dikenali sebagai FrigidStealer. Kempen ini telah dikaitkan dengan pelakon ancaman yang digelar TA2727, yang juga telah dikaitkan dengan ancaman mencuri maklumat yang menyasarkan Windows (Lumma Stealer, DeerStealer) dan Android ( Marcher ).
Isi kandungan
TA2727 dan Peranannya dalam Landskap Ancaman
TA2727 terkenal kerana menggunakan gewang kemas kini palsu untuk mengedarkan pelbagai muatan berniat jahat. Ia adalah salah satu kelompok ancaman yang baru dikenal pasti bersama TA2726, seorang pelakon yang dinilai untuk mengendalikan sistem pengedaran trafik berniat jahat (TDS). Sistem ini membolehkan penyebaran perisian hasad dengan mengarahkan trafik web yang terjejas kepada pelaku ancaman seperti TA2727 dan TA569.
Hubungan Antara TA2726 dan Pelakon Ancaman Lain
TA2726 memainkan peranan penting dalam pengedaran perisian hasad dengan bertindak sebagai TDS untuk kedua-dua TA2727 dan TA569. Yang terakhir ini terkenal kerana menggunakan SocGholish (juga dikenali sebagai FakeUpdates), pemuat berasaskan JavaScript yang menyamar sebagai kemas kini penyemak imbas pada tapak web yang terjejas. Sejak sekurang-kurangnya September 2022, TA2726 telah memudahkan pengalihan lalu lintas untuk pelakon ancaman yang bermotivasi kewangan ini, menjadikannya pemain penting dalam landskap ancaman siber.
Kemas Kini Palsu dan Muatan Bersasaran Geo
Kedua-dua TA2727 dan TA569 mengedarkan ancaman mereka melalui tapak web yang disuntik dengan JavaScript yang rosak. Tapak yang terjejas ini menipu pengguna untuk memuat turun kemas kini penyemak imbas palsu untuk Google Chrome atau Microsoft Edge. Walau bagaimanapun, TA2727 menggunakan pendekatan yang lebih disesuaikan, menyampaikan perisian hasad khusus berdasarkan lokasi dan jenis peranti penerima.
Sebagai contoh, jika pengguna Windows di Perancis atau UK melawat tapak web yang dijangkiti, mereka mungkin digesa untuk memuat turun fail pemasang MSI yang melancarkan Hijack Loader (DOILoader), yang kemudiannya menghantar Lumma Stealer. Begitu juga, pengguna Android yang diubah hala melalui skim yang sama mungkin tanpa disedari memuat turun Marcher, Trojan perbankan terkenal yang telah aktif selama lebih sedekad.
Memperluaskan Serangan kepada Pengguna macOS
Mulai Januari 2025, TA2727 telah mengembangkan kempennya untuk menyasarkan pengguna macOS yang tinggal di luar Amerika Utara. Pengguna ini dialihkan ke halaman kemas kini penipuan yang mencetuskan muat turun FrigidStealer, pencuri maklumat yang baru dikenal pasti.
Untuk memintas ciri keselamatan Gatekeeper Apple, pemasang FrigidStealer memerlukan pengguna untuk melancarkan aplikasi yang tidak ditandatangani secara manual. Setelah dilaksanakan, boleh laku Mach-O terbenam memasang ancaman, menandakan peningkatan ketara dalam jenayah siber sasaran macOS.
Bagaimana FrigidStealer Beroperasi
FrigidStealer dibina menggunakan bahasa pengaturcaraan Go dan menampilkan tandatangan ad-hoc. Terutama, ia menggunakan projek WailsIO, yang membolehkan kandungan rendering dalam penyemak imbas pengguna. Taktik ini meningkatkan ilusi bahawa pemasang berniat jahat adalah sah, meningkatkan kemungkinan jangkitan yang berjaya.
Setelah dilaksanakan, FrigidStealer menggunakan AppleScript untuk meminta kata laluan sistem pengguna, memberikannya keistimewaan yang tinggi. Dengan akses ini, ancaman boleh menuai fail, data penyemak imbas sensitif, Nota Apple dan maklumat berkaitan mata wang kripto, yang menimbulkan risiko besar kepada pengguna yang terjejas.
Gambaran Lebih Besar: Kempen Hasad Berasaskan Web
Penggunaan tapak web yang terjejas sebagai mekanisme penghantaran perisian hasad menyerlahkan trend berterusan dalam ancaman siber. Penyerang menyesuaikan muatan berdasarkan sistem pengendalian sasaran dan lokasi geografi, memastikan kesan maksimum. Walaupun sistem macOS kekal kurang biasa dalam persekitaran perusahaan berbanding Windows, kempen ini mengukuhkan keperluan yang semakin meningkat untuk pengguna macOS untuk terus berwaspada terhadap ancaman siber yang berkembang.
