FrigidStealer Tatuj
Raziskovalci kibernetske varnosti so odkrili novo kampanjo, ki uvaja spletne injekcije za distribucijo prej neidentificirane grožnje macOS, znane kot FrigidStealer. Kampanja je bila povezana z grožnjo, imenovano TA2727, ki je bila povezana tudi z grožnjami kraje informacij, ki ciljajo na Windows (Lumma Stealer, DeerStealer) in Android ( Marcher ).
Kazalo
TA2727 in njegova vloga v pokrajini nevarnosti
TA2727 je znan po uporabi lažnih posodobitvenih vab za distribucijo različnih zlonamernih vsebin. To je ena od novo ugotovljenih skupin groženj poleg TA2726, akterja, za katerega je bilo ocenjeno, da upravlja zlonamerni sistem distribucije prometa (TDS). Ta sistem omogoča širjenje zlonamerne programske opreme z usmerjanjem ogroženega spletnega prometa na akterje groženj, kot sta TA2727 in TA569.
Razmerje med TA2726 in drugimi akterji groženj
TA2726 ima ključno vlogo pri distribuciji zlonamerne programske opreme, saj deluje kot TDS za TA2727 in TA569. Slednji je razvpit po uvajanju SocGholish (znanega tudi kot FakeUpdates), nalagalnika, ki temelji na JavaScriptu in se maskira kot posodobitev brskalnika na ogroženih spletnih mestih. Vsaj od septembra 2022 je TA2726 olajšal preusmerjanje prometa za te finančno motivirane akterje groženj, zaradi česar je bistveni igralec na področju kibernetskih groženj.
Lažne posodobitve in geografsko usmerjeni koristni tovori
Tako TA2727 kot TA569 distribuirata svoje grožnje prek spletnih mest, v katere je vstavljen poškodovan JavaScript. Ta ogrožena spletna mesta zavedejo uporabnike, da prenesejo lažne posodobitve brskalnika za Google Chrome ali Microsoft Edge. Vendar pa TA2727 uporablja bolj prilagojen pristop, ki zagotavlja specifično zlonamerno programsko opremo glede na prejemnikovo lokacijo in vrsto naprave.
Na primer, če uporabnik sistema Windows v Franciji ali Združenem kraljestvu obišče okuženo spletno mesto, bo morda pozvan, naj prenese namestitveno datoteko MSI, ki zažene Hijack Loader (DOILoader), ki nato dostavi Lumma Stealer. Podobno lahko uporabniki Androida, preusmerjeni po isti shemi, nevede prenesejo Marcher, razvpiti bančni trojanec, ki je aktiven že več kot desetletje.
Razširitev napada na uporabnike macOS
Od januarja 2025 je TA2727 razširil svojo kampanjo na uporabnike macOS, ki prebivajo zunaj Severne Amerike. Ti uporabniki so preusmerjeni na goljufive posodobitvene strani, ki sprožijo prenos FrigidStealerja, na novo odkritega krajca informacij.
Za obhod Applove varnostne funkcije Gatekeeper namestitveni program FrigidStealer od uporabnikov zahteva, da ročno zaženejo nepodpisano aplikacijo. Ko je vdelana izvedljiva datoteka Mach-O enkrat izvedena, namesti grožnjo, kar pomeni znatno stopnjevanje kibernetske kriminalitete, usmerjene v macOS.
Kako deluje FrigidStealer
FrigidStealer je zgrajen z uporabo programskega jezika Go in omogoča ad-hoc podpisovanje. Predvsem uporablja projekt WailsIO, ki omogoča upodabljanje vsebine v uporabnikovem brskalniku. Ta taktika poveča iluzijo, da je zlonamerni namestitveni program zakonit, kar poveča verjetnost uspešne okužbe.
Ko se izvede, FrigidStealer uporablja AppleScript za zahtevo po uporabniškem sistemskem geslu in mu tako podeli povišane privilegije. S tem dostopom lahko grožnja pridobi datoteke, občutljive podatke brskalnika, Apple Notes in informacije, povezane s kriptovalutami, kar predstavlja veliko tveganje za prizadete uporabnike.
Širša slika: spletne kampanje zlonamerne programske opreme
Uporaba ogroženih spletnih mest kot mehanizmov za dostavo zlonamerne programske opreme poudarja stalen trend kibernetskih groženj. Napadalci prilagajajo koristne obremenitve glede na tarčni operacijski sistem in geografsko lokacijo ter tako zagotavljajo največji učinek. Čeprav so sistemi macOS v podjetniških okoljih manj pogosti v primerjavi z Windows, ta kampanja krepi vse večjo potrebo uporabnikov macOS, da ostanejo pozorni na razvijajoče se kibernetske grožnje.
