FrigidStealer Stealer
Výskumníci v oblasti kybernetickej bezpečnosti odhalili novú kampaň nasadzujúcu webové injekcie na distribúciu predtým neidentifikovanej hrozby pre macOS známej ako FrigidStealer. Kampaň bola spojená s aktérom hrozieb nazývaným TA2727, ktorý bol tiež spájaný s hrozbami kradnutia informácií zameraných na Windows (Lumma Stealer, DeerStealer) a Android ( Marker ).
Obsah
TA2727 a jeho úloha v krajine hrozieb
TA2727 je známy používaním falošných aktualizačných návnad na distribúciu rôznych škodlivých dát. Je to jeden z novo identifikovaných zhlukov hrozieb spolu s TA2726, aktérom, o ktorom sa zistilo, že prevádzkuje systém distribúcie škodlivého prenosu (TDS). Tento systém umožňuje šírenie malvéru nasmerovaním napadnutej webovej prevádzky na aktérov hrozieb, ako sú TA2727 a TA569.
Vzťah medzi TA2726 a inými hrozbami
TA2726 hrá kľúčovú úlohu v distribúcii malvéru tým, že funguje ako TDS pre TA2727 aj TA569. Ten je známy nasadením SocGholish (tiež známeho ako FakeUpdates), zavádzača založeného na JavaScripte, ktorý sa maskuje ako aktualizácia prehliadača na napadnutých webových stránkach. Prinajmenšom od septembra 2022 TA2726 uľahčil presmerovanie prevádzky pre týchto finančne motivovaných aktérov hrozieb, čím sa stal zásadným hráčom na poli kybernetických hrozieb.
Falošné aktualizácie a geograficky zacielené užitočné zaťaženia
TA2727 aj TA569 distribuujú svoje hrozby prostredníctvom webových stránok s poškodeným JavaScriptom. Tieto napadnuté stránky oklamú používateľov, aby si stiahli falošné aktualizácie prehliadača Google Chrome alebo Microsoft Edge. TA2727 však využíva prispôsobenejší prístup a dodáva špecifický malvér na základe polohy príjemcu a typu zariadenia.
Napríklad, ak používateľ systému Windows vo Francúzsku alebo Spojenom kráľovstve navštívi infikovanú webovú stránku, môže byť vyzvaný, aby si stiahol inštalačný súbor MSI, ktorý spustí Hijack Loader (DOILoader), ktorý potom poskytne Lumma Stealer. Podobne si používatelia Androidu presmerovaní cez rovnakú schému môžu nevedomky stiahnuť Marcher, notoricky známy bankový trójsky kôň, ktorý je aktívny už viac ako desať rokov.
Rozšírenie Útok na používateľov macOS
Od januára 2025 spoločnosť TA2727 rozšírila svoju kampaň na zacielenie na používateľov systému macOS s bydliskom mimo Severnej Ameriky. Títo používatelia sú presmerovaní na podvodné aktualizačné stránky, ktoré spúšťajú sťahovanie FrigidStealer, novo identifikovaného zlodeja informácií.
Aby sa obišla bezpečnostná funkcia Gatekeeper spoločnosti Apple, inštalačný program FrigidStealer vyžaduje, aby používatelia manuálne spustili nepodpísanú aplikáciu. Po spustení zabudovaný spustiteľný súbor Mach-O nainštaluje hrozbu, čo znamená významnú eskaláciu počítačovej kriminality zacielenej na macOS.
Ako FrigidStealer funguje
FrigidStealer je vytvorený pomocou programovacieho jazyka Go a má ad-hoc podpisovanie. Najmä využíva projekt WailsIO, ktorý umožňuje vykresľovanie obsahu v prehliadači používateľa. Táto taktika zvyšuje ilúziu, že škodlivý inštalátor je legitímny, čím sa zvyšuje pravdepodobnosť úspešnej infekcie.
Po spustení FrigidStealer používa AppleScript na vyžiadanie systémového hesla používateľa a udeľuje mu zvýšené privilégiá. Vďaka tomuto prístupu môže hrozba zbierať súbory, citlivé údaje prehliadača, Apple Notes a informácie súvisiace s kryptomenami, čo predstavuje značné riziko pre dotknutých používateľov.
The Bigger Picture: Web-based malware Campaigns
Používanie napadnutých webových stránok ako mechanizmov doručovania škodlivého softvéru poukazuje na pretrvávajúci trend v oblasti kybernetických hrozieb. Útočníci prispôsobujú užitočné zaťaženie na základe operačného systému cieľa a geografickej polohy, čím zaisťujú maximálny dopad. Aj keď sú systémy macOS v podnikových prostrediach v porovnaní s Windowsom menej bežné, táto kampaň posilňuje rastúcu potrebu používateľov macOS zostať ostražití voči vyvíjajúcim sa kybernetickým hrozbám.
