FrigidStealer Stealer
Истраживачи сајбер-безбедности открили су нову кампању која примењује веб убризгавање за дистрибуцију раније неидентификоване претње мацОС-а познате као ФригидСтеалер. Кампања је повезана са претњом под називом ТА2727, која је такође повезана са претњама крађе информација које циљају на Виндовс (Лумма Стеалер, ДеерСтеалер) и Андроид ( Марцхер ).
Преглед садржаја
ТА2727 и његова улога у пејзажу претњи
ТА2727 је познат по томе што користи лажне мамце за ажурирање за дистрибуцију различитих злонамерних садржаја. То је један од новоидентификованих кластера претњи поред ТА2726, актера за који се процењује да управља системом за дистрибуцију злонамерног саобраћаја (ТДС). Овај систем омогућава ширење малвера усмеравањем компромитованог веб саобраћаја на актере претњи као што су ТА2727 и ТА569.
Однос између ТА2726 и других актера претњи
ТА2726 игра кључну улогу у дистрибуцији злонамерног софтвера тако што делује као ТДС за ТА2727 и ТА569. Потоњи је познат по томе што је применио СоцГхолисх (такође познат као ФакеУпдатес), учитавач заснован на ЈаваСцрипт-у који се маскира као ажурирање претраживача на угроженим веб локацијама. Најмање од септембра 2022, ТА2726 је олакшао преусмеравање саобраћаја за ове финансијски мотивисане актере претњи, чинећи га кључним играчем у окружењу сајбер претњи.
Лажна ажурирања и гео-циљана корисна оптерећења
И ТА2727 и ТА569 дистрибуирају своје претње преко веб локација на којима је убачен оштећен ЈаваСцрипт. Ови компромитовани сајтови преваре кориснике да преузму лажна ажурирања прегледача за Гоогле Цхроме или Мицрософт Едге. Међутим, ТА2727 користи прилагођенији приступ, испоручујући специфичан малвер на основу локације примаоца и типа уређаја.
На пример, ако корисник Виндовс-а у Француској или Уједињеном Краљевству посети заражену веб локацију, може бити затражено да преузме МСИ инсталациони фајл који покреће Хијацк Лоадер (ДОИЛоадер), који затим испоручује Лумма Стеалер. Слично томе, корисници Андроид-а преусмерени преко исте шеме могу несвесно да преузму Марцхер, озлоглашени банкарски тројанац који је активан више од деценије.
Проширивање напада на кориснике мацОС-а
Од јануара 2025. године, ТА2727 је проширио своју кампању како би циљао кориснике мацОС-а који живе ван Северне Америке. Ови корисници се преусмеравају на лажне странице за ажурирање које покрећу преузимање ФригидСтеалер-а, новоидентификованог крадљиваца информација.
Да би заобишао Аппле-ову безбедносну функцију Гатекеепер, инсталатер ФригидСтеалер захтева од корисника да ручно покрећу непотписану апликацију. Када се изврши, уграђени Мацх-О извршни фајл инсталира претњу, означавајући значајну ескалацију сајбер криминала усмереног на мацОС.
Како ФригидСтеалер функционише
ФригидСтеалер је направљен коришћењем програмског језика Го и садржи ад-хоц потписивање. Нарочито користи ВаилсИО пројекат, који омогућава приказивање садржаја унутар претраживача корисника. Ова тактика појачава илузију да је злонамерни инсталатер легитиман, повећавајући вероватноћу успешне инфекције.
Када се једном изврши, ФригидСтеалер користи АпплеСцрипт да захтева системску лозинку корисника, дајући му повишене привилегије. Са овим приступом, претња може прикупити датотеке, осетљиве податке претраживача, Аппле белешке и информације у вези са криптовалутама, што представља значајан ризик за погођене кориснике.
Већа слика: Кампање за злонамерни софтвер засноване на вебу
Коришћење компромитованих веб локација као механизама за испоруку злонамерног софтвера наглашава стални тренд сајбер претњи. Нападачи прилагођавају терет на основу оперативног система и географске локације мете, обезбеђујући максималан утицај. Иако су мацОС системи и даље мање уобичајени у пословним окружењима у поређењу са Виндовс-ом, ова кампања појачава растућу потребу корисника мацОС-а да буду опрезни против еволуирајућих сајбер претњи.
