FrigidStealer Вор
Исследователи кибербезопасности обнаружили новую кампанию, использующую веб-инъекции для распространения ранее неизвестной угрозы macOS, известной как FrigidStealer. Кампания была связана с субъектом угроз, получившим прозвище TA2727, который также был связан с угрозами кражи информации, нацеленными на Windows (Lumma Stealer, DeerStealer) и Android ( Marcher ).
Оглавление
TA2727 и его роль в ландшафте угроз
TA2727 известен тем, что использует поддельные обновления-приманки для распространения различных вредоносных полезных нагрузок. Это один из недавно выявленных кластеров угроз наряду с TA2726, субъектом, который, как оценивается, управляет вредоносной системой распределения трафика (TDS). Эта система позволяет распространять вредоносное ПО, направляя скомпрометированный веб-трафик таким субъектам угроз, как TA2727 и TA569.
Связь между TA2726 и другими источниками угроз
TA2726 играет ключевую роль в распространении вредоносного ПО, выступая в качестве TDS для TA2727 и TA569. Последний известен тем, что использует SocGholish (также известный как FakeUpdates), загрузчик на основе JavaScript, маскирующийся под обновление браузера на скомпрометированных веб-сайтах. По крайней мере с сентября 2022 года TA2726 обеспечивает перенаправление трафика для этих финансово мотивированных злоумышленников, что делает его важным игроком в ландшафте киберугроз.
Поддельные обновления и геотаргетированные полезные нагрузки
Оба TA2727 и TA569 распространяют свои угрозы через веб-сайты, внедренные в поврежденный JavaScript. Эти взломанные сайты обманывают пользователей, заставляя их загружать поддельные обновления браузера для Google Chrome или Microsoft Edge. Однако TA2727 использует более индивидуальный подход, доставляя определенное вредоносное ПО на основе местоположения получателя и типа устройства.
Например, если пользователь Windows во Франции или Великобритании посещает зараженный веб-сайт, ему может быть предложено загрузить файл установщика MSI, который запускает Hijack Loader (DOILoader), который затем доставляет Lumma Stealer. Аналогично, пользователи Android, перенаправленные по той же схеме, могут неосознанно загрузить Marcher, печально известный банковский троян, который активен уже более десятилетия.
Расширение атаки на пользователей macOS
С января 2025 года TA2727 расширил свою кампанию, чтобы нацелиться на пользователей macOS, проживающих за пределами Северной Америки. Эти пользователи перенаправляются на мошеннические страницы обновлений, которые запускают загрузку FrigidStealer, недавно идентифицированного похитителя информации.
Чтобы обойти функцию безопасности Gatekeeper от Apple, установщик FrigidStealer требует от пользователей вручную запустить неподписанное приложение. После запуска встроенный исполняемый файл Mach-O устанавливает угрозу, что является значительным ростом киберпреступности, направленной на macOS.
Как работает FrigidStealer
FrigidStealer создан с использованием языка программирования Go и имеет функцию ad-hoc signing. В частности, он использует проект WailsIO, который позволяет отображать контент в браузере пользователя. Эта тактика усиливает иллюзию того, что вредоносный установщик является легитимным, увеличивая вероятность успешного заражения.
После запуска FrigidStealer использует AppleScript для запроса системного пароля пользователя, предоставляя ему повышенные привилегии. С помощью этого доступа угроза может собирать файлы, конфиденциальные данные браузера, заметки Apple и информацию, связанную с криптовалютой, что представляет значительный риск для затронутых пользователей.
Общая картина: вредоносные веб-кампании
Использование скомпрометированных веб-сайтов в качестве механизмов доставки вредоносного ПО подчеркивает текущую тенденцию киберугроз. Злоумышленники настраивают полезные нагрузки на основе операционной системы и географического положения цели, обеспечивая максимальный эффект. Хотя системы macOS остаются менее распространенными в корпоративных средах по сравнению с Windows, эта кампания усиливает растущую потребность пользователей macOS сохранять бдительность в отношении развивающихся киберугроз.
