FrigidStealer Stealer
Badacze cyberbezpieczeństwa odkryli nową kampanię wykorzystującą Web injects w celu dystrybucji wcześniej niezidentyfikowanego zagrożenia dla systemu macOS znanego jako FrigidStealer. Kampania została powiązana z aktorem zagrożenia o nazwie TA2727, który został również powiązany z zagrożeniami kradzieży informacji skierowanymi na systemy Windows (Lumma Stealer, DeerStealer) i Android ( Marcher ).
Spis treści
TA2727 i jego rola w krajobrazie zagrożeń
TA2727 jest znany z używania fałszywych aktualizacji wabiących do dystrybucji różnych złośliwych ładunków. Jest to jeden z nowo zidentyfikowanych klastrów zagrożeń obok TA2726, aktora ocenionego jako obsługującego złośliwy system dystrybucji ruchu (TDS). Ten system umożliwia rozprzestrzenianie się złośliwego oprogramowania poprzez kierowanie zagrożonego ruchu sieciowego do aktorów zagrożeń, takich jak TA2727 i TA569.
Związek między TA2726 a innymi aktorami zagrożeń
TA2726 odgrywa kluczową rolę w dystrybucji złośliwego oprogramowania, działając jako TDS zarówno dla TA2727, jak i TA569. Ten drugi jest znany z wdrażania SocGholish (znanego również jako FakeUpdates), opartego na JavaScript loadera podszywającego się pod aktualizację przeglądarki na zainfekowanych stronach internetowych. Od co najmniej września 2022 r. TA2726 ułatwia przekierowywanie ruchu dla tych finansowo zmotywowanych aktorów zagrożeń, co czyni go niezbędnym graczem w krajobrazie cyberzagrożeń.
Fałszywe aktualizacje i ładunki geotargetowane
Zarówno TA2727, jak i TA569 rozpowszechniają swoje zagrożenia za pośrednictwem witryn, w których wstrzyknięto uszkodzony kod JavaScript. Te zainfekowane witryny oszukują użytkowników, aby pobierali fałszywe aktualizacje przeglądarki Google Chrome lub Microsoft Edge. Jednak TA2727 stosuje bardziej dostosowane podejście, dostarczając określone złośliwe oprogramowanie na podstawie lokalizacji odbiorcy i typu urządzenia.
Na przykład, jeśli użytkownik systemu Windows we Francji lub Wielkiej Brytanii odwiedzi zainfekowaną witrynę, może zostać poproszony o pobranie pliku instalatora MSI, który uruchamia Hijack Loader (DOILoader), który następnie dostarcza Lumma Stealer. Podobnie użytkownicy Androida przekierowani przez ten sam schemat mogą nieświadomie pobrać Marcher, znanego trojana bankowego, który jest aktywny od ponad dekady.
Rozszerzenie ataku na użytkowników systemu macOS
Od stycznia 2025 r. TA2727 rozszerzyło swoją kampanię, aby objąć nią użytkowników macOS mieszkających poza Ameryką Północną. Użytkownicy ci są przekierowywani na fałszywe strony aktualizacji, które uruchamiają pobieranie FrigidStealer, nowo zidentyfikowanego złodzieja informacji.
Aby ominąć funkcję bezpieczeństwa Gatekeeper firmy Apple, instalator FrigidStealer wymaga od użytkowników ręcznego uruchomienia niepodpisanej aplikacji. Po uruchomieniu osadzony plik wykonywalny Mach-O instaluje zagrożenie, co oznacza znaczną eskalację cyberprzestępczości ukierunkowanej na macOS.
Jak działa FrigidStealer
FrigidStealer jest zbudowany przy użyciu języka programowania Go i zawiera ad-hoc signing. Co ciekawe, wykorzystuje projekt WailsIO, który umożliwia renderowanie treści w przeglądarce użytkownika. Ta taktyka wzmacnia iluzję, że złośliwy instalator jest legalny, zwiększając prawdopodobieństwo udanej infekcji.
Po uruchomieniu FrigidStealer używa AppleScript do żądania hasła systemowego użytkownika, przyznając mu podwyższone uprawnienia. Dzięki temu dostępowi zagrożenie może zbierać pliki, poufne dane przeglądarki, Apple Notes i informacje związane z kryptowalutą, co stwarza znaczne ryzyko dla dotkniętych użytkowników.
Szerszy obraz: kampanie złośliwego oprogramowania w sieci
Wykorzystanie zainfekowanych witryn jako mechanizmów dostarczania złośliwego oprogramowania podkreśla trwający trend w cyberzagrożeniach. Atakujący dostosowują ładunki w oparciu o system operacyjny i lokalizację geograficzną celu, zapewniając maksymalny wpływ. Chociaż systemy macOS są nadal mniej powszechne w środowiskach korporacyjnych w porównaniu z systemem Windows, ta kampania wzmacnia rosnącą potrzebę, aby użytkownicy macOS zachowali czujność wobec rozwijających się cyberzagrożeń.
