FrigidStealer Stealer
Os pesquisadores de segurança cibernética descobriram uma nova campanha que implanta Web injects para distribuir uma ameaça macOS não identificada anteriormente, conhecida como FrigidStealer. A campanha foi associada a um ator de ameaça apelidado de TA2727, que também foi associado a ameaças de roubo de informações visando Windows (Lumma Stealer, DeerStealer) e Android (Marcher).
Índice
O TA2727 e Seu Papel no Cenário de Ameaças
O TA2727 é conhecido por usar iscas de atualização falsas para distribuir várias cargas maliciosas. É um dos clusters de ameaças recentemente identificados ao lado do TA2726, um ator avaliado para operar um sistema de distribuição de tráfego malicioso (TDS). Este sistema permite a disseminação de malware ao direcionar tráfego da web comprometido para atores de ameaças como o TA2727 e o TA569.
A Relação entre o TA2726 e Outros Autores de Ameaças
O TA2726 desempenha um papel fundamental na distribuição de malware, atuando como um TDS para o TA2727 e o TA569. Este último é famoso por implantar o SocGholish (também conhecido como FakeUpdates), um carregador baseado em JavaScript disfarçado de atualização do navegador em sites comprometidos. Desde pelo menos setembro de 2022, o TA2726 tem facilitado o redirecionamento de tráfego para esses agentes de ameaças motivados financeiramente, tornando-o um participante essencial no cenário de ameaças cibernéticas.
Atualizações Falsas e Payloads Geolocalizados
Tanto o TA2727 quanto o TA569 distribuem suas ameaças por meio de sites injetados com JavaScript corrompido. Esses sites comprometidos enganam os usuários para que baixem atualizações falsas do navegador para o Google Chrome ou Microsoft Edge. No entanto, o TA2727 emprega uma abordagem mais personalizada, entregando malware específico com base na localização e no tipo de dispositivo do destinatário.
Por exemplo, se um usuário do Windows na França ou no Reino Unido visitar um site infectado, ele pode ser solicitado a baixar um arquivo instalador MSI que inicia o Hijack Loader (DOILoader), que então entrega o Lumma Stealer. Da mesma forma, usuários do Android redirecionados pelo mesmo esquema podem baixar, sem saber, o Marcher, um notório Trojan bancário que está ativo há mais de uma década.
Expandindo o Ataque para os Usuários do macOS
A partir de janeiro de 2025, o TA2727 expandiu sua campanha para atingir usuários do macOS que residem fora da América do Norte. Esses usuários são redirecionados para páginas de atualização fraudulentas que acionam o download do FrigidStealer, um ladrão de informações recém-identificado.
Para contornar o recurso de segurança Gatekeeper da Apple, o instalador FrigidStealer exige que os usuários iniciem o aplicativo não assinado manualmente. Uma vez executado, o executável Mach-O incorporado instala a ameaça, marcando uma escalada significativa no crime cibernético direcionado ao macOS.
Como o FrigidStealer Opera
O FrigidStealer é construído usando a linguagem de programação Go e apresenta assinatura ad-hoc. Notavelmente, ele utiliza o projeto WailsIO, que permite renderizar conteúdo dentro do navegador do usuário. Essa tática aumenta a ilusão de que o instalador malicioso é legítimo, aumentando a probabilidade de infecção bem-sucedida.
Uma vez executado, o FrigidStealer usa o AppleScript para solicitar a senha do sistema do usuário, concedendo a ele privilégios elevados. Com esse acesso, a ameaça pode coletar arquivos, dados confidenciais do navegador, Apple Notes e informações relacionadas a criptomoedas, representando um risco significativo para os usuários afetados.
Panorama Geral: Campanhas de Malware Baseadas na Web
O uso de sites comprometidos como mecanismos de entrega de malware destaca uma tendência contínua em ameaças cibernéticas. Os invasores estão personalizando payloads com base no sistema operacional e na localização geográfica do alvo, garantindo o máximo impacto. Embora os sistemas macOS continuem menos comuns em ambientes corporativos em comparação ao Windows, esta campanha reforça a crescente necessidade de os usuários do macOS permanecerem vigilantes contra as ameaças cibernéticas em evolução.
