FrigidStealer Stealer
Studiuesit e sigurisë kibernetike kanë zbuluar një fushatë të re që vendos injektimet e uebit për të shpërndarë një kërcënim macOS të paidentifikuar më parë të njohur si FrigidStealer. Fushata është shoqëruar me një aktor kërcënimi të quajtur TA2727, i cili gjithashtu është shoqëruar me kërcënime për vjedhjen e informacionit që synojnë Windows (Lumma Stealer, DeerStealer) dhe Android ( Marcher ).
Tabela e Përmbajtjes
TA2727 dhe roli i tij në peizazhin e kërcënimit
TA2727 është i njohur për përdorimin e joshjeve të rreme të përditësimeve për të shpërndarë ngarkesa të ndryshme me qëllim të keq. Është një nga grupet e kërcënimeve të identifikuara rishtazi së bashku me TA2726, një aktor që vlerësohet se operon një sistem të shpërndarjes së trafikut me qëllim të keq (TDS). Ky sistem mundëson përhapjen e malware duke drejtuar trafikun e komprometuar në ueb tek aktorët kërcënues si TA2727 dhe TA569.
Marrëdhënia midis TA2726 dhe aktorëve të tjerë të kërcënimit
TA2726 luan një rol kyç në shpërndarjen e malware duke vepruar si një TDS për TA2727 dhe TA569. Ky i fundit është i njohur për vendosjen e SocGholish (i njohur gjithashtu si FakeUpdates), një ngarkues i bazuar në JavaScript që maskohet si një përditësim i shfletuesit në faqet e internetit të komprometuara. Të paktën që nga shtatori 2022, TA2726 ka lehtësuar ridrejtimin e trafikut për këta aktorë kërcënimi të motivuar financiarisht, duke e bërë atë një lojtar thelbësor në peizazhin e kërcënimit kibernetik.
Përditësime të rreme dhe ngarkesa të shënjestruara me gjeo
Të dy TA2727 dhe TA569 shpërndajnë kërcënimet e tyre përmes faqeve të internetit të injektuara me JavaScript të korruptuar. Këto sajte të komprometuara mashtrojnë përdoruesit që të shkarkojnë përditësime të rreme të shfletuesit për Google Chrome ose Microsoft Edge. Megjithatë, TA2727 përdor një qasje më të përshtatur, duke ofruar malware specifik bazuar në vendndodhjen e marrësit dhe llojin e pajisjes.
Për shembull, nëse një përdorues i Windows në Francë ose në MB viziton një faqe interneti të infektuar, mund t'i kërkohet të shkarkojë një skedar instaluesi MSI që lëshon Hijack Loader (DOILoader), i cili më pas jep Lumma Stealer. Në mënyrë të ngjashme, përdoruesit e Android të ridrejtuar përmes së njëjtës skemë mund të shkarkojnë pa e ditur Marcher, një Trojan bankar famëkeq që ka qenë aktiv për më shumë se një dekadë.
Zgjerimi i Sulmit për përdoruesit e macOS
Që nga janari 2025, TA2727 ka zgjeruar fushatën e saj për të synuar përdoruesit e macOS që banojnë jashtë Amerikës së Veriut. Këta përdorues ridrejtohen në faqet mashtruese të përditësimeve që shkaktojnë shkarkimin e FrigidStealer, një vjedhës informacioni i sapoidentifikuar.
Për të anashkaluar veçorinë e sigurisë Gatekeeper të Apple, instaluesi FrigidStealer kërkon që përdoruesit të nisin manualisht aplikacionin e panënshkruar. Pasi të ekzekutohet, ekzekutuesi i integruar Mach-O instalon kërcënimin, duke shënuar një përshkallëzim të rëndësishëm në krimin kibernetik të synuar nga macOS.
Si funksionon FrigidStealer
FrigidStealer është ndërtuar duke përdorur gjuhën e programimit Go dhe përmban nënshkrimin ad-hoc. Veçanërisht, ai përdor projektin WailsIO, i cili mundëson paraqitjen e përmbajtjes brenda shfletuesit të përdoruesit. Kjo taktikë rrit iluzionin se instaluesi me qëllim të keq është legjitim, duke rritur mundësinë e një infeksioni të suksesshëm.
Pasi të ekzekutohet, FrigidStealer përdor AppleScript për të kërkuar fjalëkalimin e sistemit të përdoruesit, duke i dhënë atij privilegje të larta. Me këtë akses, kërcënimi mund të mbledhë skedarë, të dhëna të ndjeshme të shfletuesit, Apple Notes dhe informacione të lidhura me kriptovalutat, duke paraqitur një rrezik të konsiderueshëm për përdoruesit e prekur.
Fotografia më e madhe: Fushatat e Malware të bazuara në ueb
Përdorimi i faqeve të internetit të komprometuara si mekanizma të ofrimit të malware nxjerr në pah një tendencë të vazhdueshme në kërcënimet kibernetike. Sulmuesit po personalizojnë ngarkesat bazuar në sistemin operativ të objektivit dhe vendndodhjen gjeografike, duke siguruar ndikim maksimal. Megjithëse sistemet macOS mbeten më pak të zakonshme në mjediset e ndërmarrjeve në krahasim me Windows, kjo fushatë përforcon nevojën në rritje që përdoruesit e macOS të qëndrojnë vigjilentë ndaj kërcënimeve kibernetike në zhvillim.
