FrigidStealerStealer
Cybersecurity-onderzoekers hebben een nieuwe campagne ontdekt die webinjecties inzet om een voorheen onbekende macOS-bedreiging te verspreiden, bekend als FrigidStealer. De campagne is in verband gebracht met een dreigingsactor genaamd TA2727, die ook in verband is gebracht met informatie-stelende bedreigingen gericht op Windows (Lumma Stealer, DeerStealer) en Android ( Marcher ).
Inhoudsopgave
TA2727 en zijn rol in het dreigingslandschap
TA2727 staat bekend om het gebruik van nep-update-lokkers om verschillende kwaadaardige payloads te verspreiden. Het is een van de onlangs geïdentificeerde dreigingsclusters naast TA2726, een actor die is beoordeeld als een systeem voor de distributie van kwaadaardig verkeer (TDS). Dit systeem maakt de verspreiding van malware mogelijk door gecompromitteerd webverkeer te leiden naar dreigingsactoren zoals TA2727 en TA569.
De relatie tussen TA2726 en andere bedreigingsactoren
TA2726 speelt een belangrijke rol in de verspreiding van malware door te fungeren als een TDS voor zowel TA2727 als TA569. De laatste is berucht vanwege het implementeren van SocGholish (ook bekend als FakeUpdates), een op JavaScript gebaseerde loader die zich voordoet als een browserupdate op gecompromitteerde websites. Sinds ten minste september 2022 heeft TA2726 het omleiden van verkeer voor deze financieel gemotiveerde dreigingsactoren gefaciliteerd, waardoor het een essentiële speler is in het cyberdreigingslandschap.
Nep-updates en geografisch gerichte payloads
Zowel TA2727 als TA569 verspreiden hun bedreigingen via websites die zijn geïnjecteerd met corrupte JavaScript. Deze gecompromitteerde sites misleiden gebruikers om neppe browserupdates voor Google Chrome of Microsoft Edge te downloaden. TA2727 hanteert echter een meer op maat gemaakte aanpak, waarbij specifieke malware wordt geleverd op basis van de locatie en het apparaattype van de ontvanger.
Als een Windows-gebruiker in Frankrijk of het VK bijvoorbeeld een geïnfecteerde website bezoekt, kan hij worden gevraagd een MSI-installatiebestand te downloaden dat Hijack Loader (DOILoader) start, dat vervolgens Lumma Stealer levert. Op dezelfde manier kunnen Android-gebruikers die via hetzelfde schema worden omgeleid, onbewust Marcher downloaden, een beruchte banking-Trojan die al meer dan tien jaar actief is.
Uitbreiding van de aanval naar macOS-gebruikers
Vanaf januari 2025 heeft TA2727 zijn campagne uitgebreid om macOS-gebruikers buiten Noord-Amerika te targeten. Deze gebruikers worden omgeleid naar frauduleuze updatepagina's die de download van FrigidStealer activeren, een onlangs geïdentificeerde informatiedief.
Om de beveiligingsfunctie Gatekeeper van Apple te omzeilen, vereist de FrigidStealer-installer dat gebruikers de niet-ondertekende applicatie handmatig starten. Na uitvoering installeert het ingebedde Mach-O-uitvoerbare bestand de bedreiging, wat een aanzienlijke escalatie van op macOS gerichte cybercriminaliteit markeert.
Hoe FrigidStealer werkt
FrigidStealer is gebouwd met de programmeertaal Go en beschikt over ad-hoc ondertekening. Het maakt met name gebruik van het WailsIO-project, dat het mogelijk maakt om content binnen de browser van de gebruiker te renderen. Deze tactiek versterkt de illusie dat de kwaadaardige installer legitiem is, waardoor de kans op succesvolle infectie toeneemt.
Na uitvoering gebruikt FrigidStealer AppleScript om het systeemwachtwoord van de gebruiker op te vragen, waardoor het verhoogde privileges krijgt. Met deze toegang kan de bedreiging bestanden, gevoelige browsergegevens, Apple Notes en cryptovaluta-gerelateerde informatie oogsten, wat een aanzienlijk risico vormt voor de getroffen gebruikers.
Het grotere plaatje: webgebaseerde malwarecampagnes
Het gebruik van gecompromitteerde websites als malware-aflevermechanismen benadrukt een aanhoudende trend in cyberdreigingen. Aanvallers passen payloads aan op basis van het besturingssysteem en de geografische locatie van het doelwit, om maximale impact te garanderen. Hoewel macOS-systemen minder gebruikelijk zijn in bedrijfsomgevingen in vergelijking met Windows, benadrukt deze campagne de groeiende behoefte van macOS-gebruikers om waakzaam te blijven voor evoluerende cyberdreigingen.
