FrigidStealer Stealer
साइबर सुरक्षा अनुसन्धानकर्ताहरूले फ्रिगिडस्टीलर भनेर चिनिने पहिलेको अज्ञात म्याकोस खतरा वितरण गर्न वेब इन्जेक्टहरू प्रयोग गर्ने नयाँ अभियान पत्ता लगाएका छन्। यो अभियान TA2727 नामक एक खतरा अभिनेतासँग सम्बन्धित छ, जो विन्डोज (लुम्मा स्टीलर, डियरस्टीलर) र एन्ड्रोइड ( मार्चर ) लाई लक्षित गर्दै जानकारी चोरी गर्ने धम्कीहरूसँग पनि सम्बन्धित छ।
सामग्रीको तालिका
TA2727 र खतरा परिदृश्यमा यसको भूमिका
TA2727 विभिन्न दुर्भावनापूर्ण पेलोडहरू वितरण गर्न नक्कली अपडेट ल्युरहरू प्रयोग गर्नका लागि परिचित छ। यो TA2726 सँगसँगै नयाँ पहिचान गरिएको खतरा क्लस्टरहरू मध्ये एक हो, जुन दुर्भावनापूर्ण ट्राफिक वितरण प्रणाली (TDS) सञ्चालन गर्ने एक अभिनेता हो। यो प्रणालीले TA2727 र TA569 जस्ता खतरा अभिनेताहरूलाई सम्झौता गरिएका वेब ट्राफिक निर्देशित गरेर मालवेयर फैलाउन सक्षम बनाउँछ।
TA2726 र अन्य खतरा अभिनेताहरू बीचको सम्बन्ध
TA2726 ले TA2727 र TA569 दुवैको लागि TDS को रूपमा काम गरेर मालवेयर वितरणमा प्रमुख भूमिका खेल्छ। पछिल्लो SocGholish (FakeUpdates को रूपमा पनि चिनिन्छ) तैनाथ गर्नको लागि कुख्यात छ, जुन जाभास्क्रिप्ट-आधारित लोडर हो जसले सम्झौता गरिएका वेबसाइटहरूमा ब्राउजर अपडेटको रूपमा लुकाउँछ। कम्तिमा सेप्टेम्बर २०२२ देखि, TA2726 ले यी आर्थिक रूपमा प्रेरित खतरा अभिनेताहरूको लागि ट्राफिक पुनर्निर्देशनलाई सहज बनाएको छ, जसले यसलाई साइबर खतरा परिदृश्यमा एक आवश्यक खेलाडी बनाएको छ।
नक्कली अपडेटहरू र भू-लक्षित पेलोडहरू
TA2727 र TA569 दुवैले भ्रष्ट जाभास्क्रिप्ट इन्जेक्ट गरिएका वेबसाइटहरू मार्फत आफ्ना धम्कीहरू वितरण गर्छन्। यी सम्झौता गरिएका साइटहरूले प्रयोगकर्ताहरूलाई गुगल क्रोम वा माइक्रोसफ्ट एजको लागि नक्कली ब्राउजर अपडेटहरू डाउनलोड गर्न झुक्याउँछन्। यद्यपि, TA2727 ले प्राप्तकर्ताको स्थान र उपकरण प्रकारको आधारमा विशिष्ट मालवेयर प्रदान गर्दै, थप अनुकूलित दृष्टिकोण प्रयोग गर्दछ।
उदाहरणका लागि, यदि फ्रान्स वा बेलायतमा रहेका विन्डोज प्रयोगकर्ताले संक्रमित वेबसाइटमा गए भने, उनीहरूलाई हाईज्याक लोडर (DOILoader) सुरु गर्ने MSI स्थापनाकर्ता फाइल डाउनलोड गर्न प्रेरित गर्न सकिन्छ, जसले त्यसपछि लुम्मा स्टीलर डेलिभर गर्छ। त्यस्तै गरी, उही योजना मार्फत पुन: निर्देशित एन्ड्रोइड प्रयोगकर्ताहरूले अनजानमा मार्चर डाउनलोड गर्न सक्छन्, एक कुख्यात बैंकिङ ट्रोजन जुन एक दशकभन्दा बढी समयदेखि सक्रिय छ।
macOS प्रयोगकर्ताहरूमा आक्रमण विस्तार गर्दै
जनवरी २०२५ सम्म, TA2727 ले उत्तर अमेरिका बाहिर बस्ने macOS प्रयोगकर्ताहरूलाई लक्षित गर्न आफ्नो अभियान विस्तार गरेको छ। यी प्रयोगकर्ताहरूलाई नयाँ पहिचान गरिएको जानकारी चोर, FrigidStealer को डाउनलोड ट्रिगर गर्ने धोखाधडी अपडेट पृष्ठहरूमा रिडिरेक्ट गरिन्छ।
एप्पलको गेटकिपर सुरक्षा सुविधालाई बाइपास गर्न, FrigidStealer स्थापनाकर्ताले प्रयोगकर्ताहरूलाई हस्ताक्षर नगरिएको अनुप्रयोग म्यानुअल रूपमा सुरु गर्न आवश्यक छ। एक पटक कार्यान्वयन भएपछि, इम्बेडेड Mach-O कार्यान्वयनयोग्यले खतरा स्थापना गर्दछ, जसले macOS-लक्षित साइबर अपराधमा उल्लेखनीय वृद्धिलाई चिन्ह लगाउँछ।
FrigidStealer कसरी काम गर्छ
FrigidStealer Go प्रोग्रामिङ भाषा प्रयोग गरेर बनाइएको हो र यसमा एड-हक साइनिङ सुविधा छ। उल्लेखनीय रूपमा, यसले WailsIO परियोजना प्रयोग गर्दछ, जसले प्रयोगकर्ताको ब्राउजर भित्र सामग्री रेन्डर गर्न सक्षम बनाउँछ। यो रणनीतिले दुर्भावनापूर्ण स्थापनाकर्ता वैध छ भन्ने भ्रमलाई बढाउँछ, सफल संक्रमणको सम्भावना बढाउँछ।
एकपटक कार्यान्वयन भएपछि, FrigidStealer ले प्रयोगकर्ताको प्रणाली पासवर्ड अनुरोध गर्न AppleScript प्रयोग गर्दछ, जसले गर्दा यसलाई उच्च विशेषाधिकारहरू प्रदान गरिन्छ। यस पहुँचको साथ, खतराले फाइलहरू, संवेदनशील ब्राउजर डेटा, Apple Notes, र क्रिप्टोकरेन्सी-सम्बन्धित जानकारी सङ्कलन गर्न सक्छ, जसले प्रभावित प्रयोगकर्ताहरूको लागि महत्त्वपूर्ण जोखिम निम्त्याउँछ।
ठूलो तस्वीर: वेब-आधारित मालवेयर अभियानहरू
मालवेयर डेलिभरी संयन्त्रको रूपमा सम्झौता गरिएका वेबसाइटहरूको प्रयोगले साइबर खतराहरूमा चलिरहेको प्रवृत्तिलाई हाइलाइट गर्दछ। आक्रमणकारीहरूले लक्षित अपरेटिङ सिस्टम र भौगोलिक स्थानको आधारमा पेलोडहरू अनुकूलित गर्दैछन्, अधिकतम प्रभाव सुनिश्चित गर्दै। यद्यपि विन्डोजको तुलनामा इन्टरप्राइज वातावरणमा macOS प्रणालीहरू कम सामान्य रहन्छन्, यो अभियानले macOS प्रयोगकर्ताहरूलाई विकसित साइबर खतराहरू विरुद्ध सतर्क रहन बढ्दो आवश्यकतालाई बलियो बनाउँछ।
