FrigidStealer Stealer
Cercetătorii în domeniul securității cibernetice au descoperit o nouă campanie care implementează injectări web pentru a distribui o amenințare macOS neidentificată anterior, cunoscută sub numele de FrigidStealer. Campania a fost asociată cu un actor de amenințări numit TA2727, care a fost asociat și cu amenințări de furt de informații care vizează Windows (Lumma Stealer, DeerStealer) și Android ( Marcher ).
Cuprins
TA2727 și rolul său în peisajul amenințărilor
TA2727 este cunoscut pentru utilizarea momelilor de actualizare false pentru a distribui diferite încărcături utile rău intenționate. Este unul dintre noile grupuri de amenințări identificate alături de TA2726, un actor evaluat să opereze un sistem de distribuție a traficului (TDS) rău intenționat. Acest sistem permite răspândirea malware-ului prin direcționarea traficului web compromis către actori de amenințări precum TA2727 și TA569.
Relația dintre TA2726 și alți actori de amenințare
TA2726 joacă un rol cheie în distribuția de malware, acționând ca un TDS atât pentru TA2727, cât și pentru TA569. Acesta din urmă este notoriu pentru implementarea SocGholish (cunoscut și sub numele de FakeUpdates), un încărcător bazat pe JavaScript care se maschează ca o actualizare a browserului pe site-urile web compromise. Începând cu cel puțin septembrie 2022, TA2726 a facilitat redirecționarea traficului pentru acești actori de amenințări motivați financiar, făcându-l un jucător esențial în peisajul amenințărilor cibernetice.
Actualizări false și încărcături utile geografice
Atât TA2727, cât și TA569 își distribuie amenințările prin intermediul site-urilor web injectate cu JavaScript corupt. Aceste site-uri compromise păcălesc utilizatorii să descarce actualizări false ale browserului pentru Google Chrome sau Microsoft Edge. Cu toate acestea, TA2727 folosește o abordare mai personalizată, oferind programe malware specifice bazate pe locația destinatarului și tipul de dispozitiv.
De exemplu, dacă un utilizator Windows din Franța sau Marea Britanie vizitează un site web infectat, i se poate solicita să descarce un fișier de instalare MSI care lansează Hijack Loader (DOILoader), care apoi furnizează Lumma Stealer. În mod similar, utilizatorii Android redirecționați prin aceeași schemă pot descărca fără să știe Marcher, un troian bancar notoriu care a fost activ de peste un deceniu.
Extinderea atacului la utilizatorii macOS
Începând cu ianuarie 2025, TA2727 și-a extins campania pentru a viza utilizatorii macOS care locuiesc în afara Americii de Nord. Acești utilizatori sunt redirecționați către pagini de actualizare frauduloase care declanșează descărcarea FrigidStealer, un furator de informații nou identificat.
Pentru a ocoli caracteristica de securitate Gatekeeper a Apple, programul de instalare FrigidStealer solicită utilizatorilor să lanseze manual aplicația nesemnată. Odată executat, executabilul Mach-O încorporat instalează amenințarea, marcând o escaladare semnificativă a criminalității cibernetice vizate de macOS.
Cum funcționează FrigidStealer
FrigidStealer este construit folosind limbajul de programare Go și oferă semnare ad-hoc. În special, utilizează proiectul WailsIO, care permite redarea conținutului în browserul utilizatorului. Această tactică sporește iluzia că programul de instalare rău intenționat este legitim, crescând probabilitatea unei infecții cu succes.
Odată executat, FrigidStealer folosește AppleScript pentru a solicita parola de sistem a utilizatorului, acordându-i privilegii ridicate. Cu acest acces, amenințarea poate recolta fișiere, date sensibile ale browserului, note Apple și informații legate de criptomonede, prezentând un risc semnificativ pentru utilizatorii afectați.
Imaginea de ansamblu: campanii de programe malware bazate pe web
Utilizarea site-urilor web compromise ca mecanisme de livrare a malware-ului evidențiază o tendință continuă în ceea ce privește amenințările cibernetice. Atacatorii personalizează încărcăturile utile pe baza sistemului de operare al țintei și a locației geografice, asigurând un impact maxim. Deși sistemele macOS rămân mai puțin comune în mediile de întreprindere în comparație cu Windows, această campanie întărește nevoia tot mai mare ca utilizatorii macOS să rămână vigilenți împotriva amenințărilor cibernetice în evoluție.
