FrigidStealer Stealer
Cybersäkerhetsforskare har avslöjat en ny kampanj som distribuerar webbinjektioner för att distribuera ett tidigare oidentifierat macOS-hot känt som FrigidStealer. Kampanjen har associerats med en hotaktör kallad TA2727, som också har förknippats med informationsstöldhot riktade mot Windows (Lumma Stealer, DeerStealer) och Android ( Marcher ).
Innehållsförteckning
TA2727 och dess roll i hotlandskapet
TA2727 är känd för att använda falska uppdateringsbeten för att distribuera olika skadliga nyttolaster. Det är ett av de nyligen identifierade hotklustren vid sidan av TA2726, en aktör som bedöms driva ett skadligt trafikdistributionssystem (TDS). Detta system möjliggör spridning av skadlig programvara genom att dirigera komprometterad webbtrafik till hotaktörer som TA2727 och TA569.
Förhållandet mellan TA2726 och andra hotaktörer
TA2726 spelar en nyckelroll i distribution av skadlig programvara genom att fungera som en TDS för både TA2727 och TA569. Den senare är ökända för att ha distribuerat SocGholish (även känd som FakeUpdates), en JavaScript-baserad laddare som maskerar sig som en webbläsaruppdatering på utsatta webbplatser. Sedan åtminstone september 2022 har TA2726 underlättat trafikomdirigering för dessa ekonomiskt motiverade hotaktörer, vilket gör den till en viktig aktör i cyberhotslandskapet.
Falska uppdateringar och geografiskt riktade nyttolaster
Både TA2727 och TA569 distribuerar sina hot via webbplatser med korrupt JavaScript. Dessa komprometterade webbplatser lurar användare att ladda ner falska webbläsaruppdateringar för Google Chrome eller Microsoft Edge. TA2727 använder dock ett mer skräddarsytt tillvägagångssätt, och levererar specifik skadlig programvara baserat på mottagarens plats och enhetstyp.
Till exempel, om en Windows-användare i Frankrike eller Storbritannien besöker en infekterad webbplats, kan de bli ombedd att ladda ner en MSI-installationsfil som startar Hijack Loader (DOILoader), som sedan levererar Lumma Stealer. På samma sätt kan Android-användare som omdirigeras genom samma system omedvetet ladda ner Marcher, en ökända banktrojan som har varit aktiv i över ett decennium.
Expandera attacken till macOS-användare
Från och med januari 2025 har TA2727 utökat sin kampanj för att rikta in sig på macOS-användare som bor utanför Nordamerika. Dessa användare omdirigeras till bedrägliga uppdateringssidor som utlöser nedladdningen av FrigidStealer, en nyligen identifierad informationsstöldare.
För att kringgå Apples Gatekeeper-säkerhetsfunktion kräver FrigidStealer-installationsprogrammet att användarna startar det osignerade programmet manuellt. När den har körts installerar den inbäddade Mach-O körbara hotet, vilket markerar en betydande upptrappning av macOS-riktad cyberbrottslighet.
Hur FrigidStealer fungerar
FrigidStealer är byggd med hjälp av programmeringsspråket Go och har ad-hoc-signering. Noterbart använder den WailsIO-projektet, som möjliggör rendering av innehåll i användarens webbläsare. Denna taktik förstärker illusionen om att det skadliga installationsprogrammet är legitimt, vilket ökar sannolikheten för framgångsrik infektion.
När den har körts använder FrigidStealer AppleScript för att begära användarens systemlösenord, vilket ger den förhöjda privilegier. Med denna åtkomst kan hotet samla in filer, känslig webbläsardata, Apple Notes och kryptovalutrelaterad information, vilket utgör en betydande risk för berörda användare.
Den större bilden: webbaserade skadlig programvara
Användningen av komprometterade webbplatser som leveransmekanismer för skadlig programvara belyser en pågående trend i cyberhot. Angripare anpassar nyttolast baserat på målets operativsystem och geografiska plats, vilket säkerställer maximal effekt. Även om macOS-system fortfarande är mindre vanliga i företagsmiljöer jämfört med Windows, förstärker den här kampanjen det växande behovet för macOS-användare att vara vaksamma mot cyberhot under utveckling.
