FrigidStealer Stealer
సైబర్ సెక్యూరిటీ పరిశోధకులు వెబ్ ఇంజెక్ట్లను ఉపయోగించి గతంలో గుర్తించబడని MacOS ముప్పును FrigidStealer అని పిలుస్తారు, దీనిని పంపిణీ చేయడానికి ఒక కొత్త ప్రచారాన్ని కనుగొన్నారు. ఈ ప్రచారం TA2727 అని పిలువబడే ముప్పు నటుడితో సంబంధం కలిగి ఉంది, అతను Windows (Lumma Stealer, DeerStealer) మరియు Android ( Marcher ) లను లక్ష్యంగా చేసుకుని సమాచార దొంగిలించే ముప్పులతో కూడా సంబంధం కలిగి ఉన్నాడు.
విషయ సూచిక
TA2727 మరియు ముప్పు ప్రకృతి దృశ్యంలో దాని పాత్ర
TA2727 వివిధ హానికరమైన పేలోడ్లను పంపిణీ చేయడానికి నకిలీ నవీకరణ ఎరలను ఉపయోగించడంలో ప్రసిద్ధి చెందింది. ఇది TA2726 తో పాటు కొత్తగా గుర్తించబడిన బెదిరింపు క్లస్టర్లలో ఒకటి, ఇది హానికరమైన ట్రాఫిక్ పంపిణీ వ్యవస్థ (TDS)ను నిర్వహించడానికి అంచనా వేయబడిన నటుడు. ఈ వ్యవస్థ TA2727 మరియు TA569 వంటి బెదిరింపు నటులకు రాజీపడిన వెబ్ ట్రాఫిక్ను మళ్ళించడం ద్వారా మాల్వేర్ వ్యాప్తిని అనుమతిస్తుంది.
TA2726 మరియు ఇతర బెదిరింపు నటుల మధ్య సంబంధం
TA2727 మరియు TA569 రెండింటికీ TDSగా వ్యవహరించడం ద్వారా TA2726 మాల్వేర్ పంపిణీలో కీలక పాత్ర పోషిస్తుంది. రెండోది రాజీపడిన వెబ్సైట్లలో బ్రౌజర్ అప్డేట్గా మారువేషంలో ఉన్న జావాస్క్రిప్ట్ ఆధారిత లోడర్ అయిన SocGholish (FakeUpdates అని కూడా పిలుస్తారు)ను అమలు చేయడంలో అపఖ్యాతి పాలైంది. కనీసం సెప్టెంబర్ 2022 నుండి, TA2726 ఈ ఆర్థికంగా ప్రేరేపించబడిన ముప్పు నటుల కోసం ట్రాఫిక్ దారి మళ్లింపును సులభతరం చేసింది, ఇది సైబర్ ముప్పు ల్యాండ్స్కేప్లో ముఖ్యమైన ఆటగాడిగా మారింది.
నకిలీ నవీకరణలు మరియు జియో-టార్గెటెడ్ పేలోడ్లు
TA2727 మరియు TA569 రెండూ తమ బెదిరింపులను పాడైన జావాస్క్రిప్ట్తో ఇంజెక్ట్ చేయబడిన వెబ్సైట్ల ద్వారా వ్యాప్తి చేస్తాయి. ఈ రాజీపడిన సైట్లు వినియోగదారులను Google Chrome లేదా Microsoft Edge కోసం నకిలీ బ్రౌజర్ నవీకరణలను డౌన్లోడ్ చేసుకునేలా మోసం చేస్తాయి. అయితే, TA2727 మరింత అనుకూలమైన విధానాన్ని ఉపయోగిస్తుంది, గ్రహీత స్థానం మరియు పరికర రకం ఆధారంగా నిర్దిష్ట మాల్వేర్ను అందిస్తుంది.
ఉదాహరణకు, ఫ్రాన్స్ లేదా UKలోని ఒక Windows వినియోగదారుడు వైరస్ సోకిన వెబ్సైట్ను సందర్శిస్తే, వారు హైజాక్ లోడర్ (DOILoader)ను ప్రారంభించే MSI ఇన్స్టాలర్ ఫైల్ను డౌన్లోడ్ చేయమని ప్రాంప్ట్ చేయబడవచ్చు, అది తరువాత Lumma Stealerను అందిస్తుంది. అదేవిధంగా, అదే పథకం ద్వారా దారి మళ్లించబడిన Android వినియోగదారులు తెలియకుండానే దశాబ్ద కాలంగా యాక్టివ్గా ఉన్న అపఖ్యాతి పాలైన బ్యాంకింగ్ ట్రోజన్ అయిన Marcherను డౌన్లోడ్ చేసుకోవచ్చు.
మాకోస్ వినియోగదారులకు దాడిని విస్తరించడం
జనవరి 2025 నాటికి, TA2727 ఉత్తర అమెరికా వెలుపల నివసిస్తున్న macOS వినియోగదారులను లక్ష్యంగా చేసుకుని తన ప్రచారాన్ని విస్తరించింది. ఈ వినియోగదారులు కొత్తగా గుర్తించబడిన సమాచార దొంగ అయిన FrigidStealer డౌన్లోడ్ను ప్రేరేపించే మోసపూరిత నవీకరణ పేజీలకు దారి మళ్లించబడతారు.
ఆపిల్ యొక్క గేట్ కీపర్ భద్రతా లక్షణాన్ని దాటవేయడానికి, FrigidStealer ఇన్స్టాలర్ వినియోగదారులు సంతకం చేయని అప్లికేషన్ను మాన్యువల్గా ప్రారంభించవలసి ఉంటుంది. అమలు చేసిన తర్వాత, ఎంబెడెడ్ Mach-O ఎక్జిక్యూటబుల్ ముప్పును ఇన్స్టాల్ చేస్తుంది, ఇది macOS-లక్ష్యంగా చేసుకున్న సైబర్ నేరాలలో గణనీయమైన పెరుగుదలను సూచిస్తుంది.
ఫ్రిజిడ్స్టీలర్ ఎలా పనిచేస్తుంది
FrigidStealer గో ప్రోగ్రామింగ్ భాషను ఉపయోగించి నిర్మించబడింది మరియు తాత్కాలిక సంతకాన్ని కలిగి ఉంటుంది. ముఖ్యంగా, ఇది WailsIO ప్రాజెక్ట్ను ఉపయోగిస్తుంది, ఇది వినియోగదారు బ్రౌజర్లో కంటెంట్ను రెండరింగ్ చేయడానికి వీలు కల్పిస్తుంది. ఈ వ్యూహం హానికరమైన ఇన్స్టాలర్ చట్టబద్ధమైనదనే భ్రమను పెంచుతుంది, విజయవంతమైన సంక్రమణ సంభావ్యతను పెంచుతుంది.
ఒకసారి అమలు చేసిన తర్వాత, FrigidStealer యూజర్ యొక్క సిస్టమ్ పాస్వర్డ్ను అభ్యర్థించడానికి AppleScriptను ఉపయోగిస్తుంది, దీనికి అధిక అధికారాలను అందిస్తుంది. ఈ యాక్సెస్తో, ముప్పు ఫైల్లు, సున్నితమైన బ్రౌజర్ డేటా, Apple నోట్స్ మరియు క్రిప్టోకరెన్సీ సంబంధిత సమాచారాన్ని సేకరించగలదు, ప్రభావిత వినియోగదారులకు గణనీయమైన ప్రమాదాన్ని కలిగిస్తుంది.
పెద్ద చిత్రం: వెబ్ ఆధారిత మాల్వేర్ ప్రచారాలు
రాజీపడిన వెబ్సైట్లను మాల్వేర్ డెలివరీ మెకానిజమ్లుగా ఉపయోగించడం సైబర్ బెదిరింపులలో కొనసాగుతున్న ధోరణిని హైలైట్ చేస్తుంది. దాడి చేసేవారు లక్ష్యం యొక్క ఆపరేటింగ్ సిస్టమ్ మరియు భౌగోళిక స్థానం ఆధారంగా పేలోడ్లను అనుకూలీకరించుకుంటున్నారు, గరిష్ట ప్రభావాన్ని నిర్ధారిస్తారు. విండోస్తో పోలిస్తే ఎంటర్ప్రైజ్ వాతావరణాలలో macOS వ్యవస్థలు తక్కువగా ఉన్నప్పటికీ, ఈ ప్రచారం macOS వినియోగదారులు అభివృద్ధి చెందుతున్న సైబర్ బెదిరింపుల పట్ల అప్రమత్తంగా ఉండవలసిన పెరుగుతున్న అవసరాన్ని బలోపేతం చేస్తుంది.
