FrigidStealer Stealer
Cybersikkerhetsforskere har avdekket en ny kampanje som distribuerer webinjeksjoner for å distribuere en tidligere uidentifisert macOS-trussel kjent som FrigidStealer. Kampanjen har vært assosiert med en trusselaktør kalt TA2727, som også har vært assosiert med trusler mot informasjonstyveri rettet mot Windows (Lumma Stealer, DeerStealer) og Android ( Marcher ).
Innholdsfortegnelse
TA2727 og dens rolle i trussellandskapet
TA2727 er kjent for å bruke falske oppdateringslokker for å distribuere ulike ondsinnede nyttelaster. Det er en av de nylig identifiserte trusselklyngene ved siden av TA2726, en aktør som vurderes å drive et ondsinnet trafikkdistribusjonssystem (TDS). Dette systemet muliggjør spredning av skadelig programvare ved å lede kompromittert nettrafikk til trusselaktører som TA2727 og TA569.
Forholdet mellom TA2726 og andre trusselaktører
TA2726 spiller en nøkkelrolle i distribusjon av skadelig programvare ved å fungere som en TDS for både TA2727 og TA569. Sistnevnte er beryktet for å distribuere SocGholish (også kjent som FakeUpdates), en JavaScript-basert loader som er maskert som en nettleseroppdatering på kompromitterte nettsteder. Siden minst september 2022 har TA2726 tilrettelagt trafikkomdirigering for disse økonomisk motiverte trusselaktørene, noe som gjør den til en viktig aktør i cybertrussellandskapet.
Falske oppdateringer og geografisk målrettede nyttelaster
Både TA2727 og TA569 distribuerer truslene sine gjennom nettsteder injisert med ødelagt JavaScript. Disse kompromitterte nettstedene lurer brukere til å laste ned falske nettleseroppdateringer for Google Chrome eller Microsoft Edge. Imidlertid bruker TA2727 en mer skreddersydd tilnærming, og leverer spesifikk skadelig programvare basert på mottakerens plassering og enhetstype.
For eksempel, hvis en Windows-bruker i Frankrike eller Storbritannia besøker et infisert nettsted, kan de bli bedt om å laste ned en MSI-installasjonsfil som starter Hijack Loader (DOILoader), som deretter leverer Lumma Stealer. På samme måte kan Android-brukere som omdirigeres gjennom det samme opplegget ubevisst laste ned Marcher, en beryktet banktrojaner som har vært aktiv i over et tiår.
Utvide angrepet til macOS-brukere
Fra januar 2025 har TA2727 utvidet sin kampanje for å målrette mot macOS-brukere som bor utenfor Nord-Amerika. Disse brukerne blir omdirigert til uredelige oppdateringssider som utløser nedlastingen av FrigidStealer, en nylig identifisert informasjonstyver.
For å omgå Apples Gatekeeper-sikkerhetsfunksjon, krever FrigidStealer-installasjonsprogrammet at brukerne starter det usignerte programmet manuelt. Når den er utført, installerer den innebygde Mach-O-kjørbare trusselen, og markerer en betydelig eskalering i macOS-målrettet nettkriminalitet.
Hvordan FrigidStealer fungerer
FrigidStealer er bygget ved hjelp av programmeringsspråket Go og har ad-hoc-signering. Spesielt bruker den WailsIO-prosjektet, som gjør det mulig å gjengi innhold i brukerens nettleser. Denne taktikken øker illusjonen om at det ondsinnede installasjonsprogrammet er legitimt, og øker sannsynligheten for vellykket infeksjon.
Når den er utført, bruker FrigidStealer AppleScript til å be om brukerens systempassord, og gir den økte privilegier. Med denne tilgangen kan trusselen høste filer, sensitive nettleserdata, Apple Notes og kryptovalutrelatert informasjon, noe som utgjør en betydelig risiko for berørte brukere.
Det større bildet: nettbaserte skadelig programvarekampanjer
Bruken av kompromitterte nettsteder som leveringsmekanismer for skadelig programvare fremhever en pågående trend innen cybertrusler. Angripere tilpasser nyttelast basert på målets operativsystem og geografiske plassering, og sikrer maksimal effekt. Selv om macOS-systemer fortsatt er mindre vanlige i bedriftsmiljøer sammenlignet med Windows, forsterker denne kampanjen det økende behovet for macOS-brukere for å være årvåkne mot nye cybertrusler.
