FrigidStealer Stealer
นักวิจัยด้านความปลอดภัยไซเบอร์ได้ค้นพบแคมเปญใหม่ที่ใช้การแทรกเว็บเพื่อกระจายภัยคุกคาม macOS ที่ไม่เคยระบุมาก่อนซึ่งรู้จักกันในชื่อ FrigidStealer แคมเปญดังกล่าวมีความเกี่ยวข้องกับผู้ก่อภัยคุกคามที่มีชื่อว่า TA2727 ซึ่งยังเกี่ยวข้องกับภัยคุกคามการขโมยข้อมูลโดยกำหนดเป้าหมายเป็น Windows (Lumma Stealer, DeerStealer) และ Android ( Marcher )
สารบัญ
TA2727 และบทบาทในภูมิทัศน์ภัยคุกคาม
TA2727 เป็นที่รู้จักในการใช้การล่อหลอกการอัปเดตปลอมเพื่อกระจายเพย์โหลดที่เป็นอันตรายต่างๆ โดยเป็นหนึ่งในคลัสเตอร์ภัยคุกคามที่เพิ่งระบุได้ใหม่ร่วมกับ TA2726 ซึ่งเป็นผู้กระทำผิดที่ถูกประเมินว่าควบคุมระบบกระจายทราฟฟิกที่เป็นอันตราย (TDS) ระบบนี้ทำให้สามารถแพร่กระจายมัลแวร์ได้โดยส่งทราฟฟิกเว็บที่ถูกบุกรุกไปยังผู้กระทำผิด เช่น TA2727 และ TA569
ความสัมพันธ์ระหว่าง TA2726 และภัยคุกคามอื่น ๆ
TA2726 มีบทบาทสำคัญในการแพร่กระจายมัลแวร์โดยทำหน้าที่เป็น TDS สำหรับทั้ง TA2727 และ TA569 โดย TA569 มีชื่อเสียงในด้านการใช้ SocGholish (หรือเรียกอีกอย่างว่า FakeUpdates) ซึ่งเป็นตัวโหลดที่ใช้ JavaScript ซึ่งแอบอ้างว่าเป็นการอัปเดตเบราว์เซอร์บนเว็บไซต์ที่ถูกบุกรุก ตั้งแต่เดือนกันยายน 2022 เป็นอย่างน้อย TA2726 ได้อำนวยความสะดวกในการเปลี่ยนเส้นทางการรับส่งข้อมูลสำหรับผู้ก่อภัยคุกคามที่มีแรงจูงใจทางการเงินเหล่านี้ ทำให้ TA2726 กลายเป็นผู้เล่นที่สำคัญในภูมิทัศน์ของภัยคุกคามทางไซเบอร์
การอัปเดตปลอมและเพย์โหลดที่กำหนดเป้าหมายทางภูมิศาสตร์
ทั้ง TA2727 และ TA569 เผยแพร่ภัยคุกคามผ่านเว็บไซต์ที่แทรก JavaScript ที่เสียหาย เว็บไซต์ที่ถูกบุกรุกเหล่านี้หลอกล่อผู้ใช้ให้ดาวน์โหลดการอัปเดตเบราว์เซอร์ปลอมสำหรับ Google Chrome หรือ Microsoft Edge อย่างไรก็ตาม TA2727 ใช้แนวทางที่ปรับแต่งมาเป็นพิเศษโดยส่งมัลแวร์เฉพาะตามตำแหน่งและประเภทอุปกรณ์ของผู้รับ
ตัวอย่างเช่น หากผู้ใช้ Windows ในฝรั่งเศสหรือสหราชอาณาจักรเข้าชมเว็บไซต์ที่ติดไวรัส พวกเขาอาจได้รับแจ้งให้ดาวน์โหลดไฟล์ติดตั้ง MSI ที่จะเปิดใช้งาน Hijack Loader (DOILoader) จากนั้นจะส่ง Lumma Stealer มาให้ ในทำนองเดียวกัน ผู้ใช้ Android ที่ถูกเปลี่ยนเส้นทางผ่านกลอุบายเดียวกันอาจดาวน์โหลด Marcher ซึ่งเป็นโทรจันทางการเงินที่มีชื่อเสียงซึ่งทำงานมานานกว่าทศวรรษโดยไม่รู้ตัว
การขยายการโจมตีไปยังผู้ใช้ macOS
ตั้งแต่เดือนมกราคม 2025 TA2727 ได้ขยายแคมเปญเพื่อกำหนดเป้าหมายผู้ใช้ macOS ที่อยู่นอกอเมริกาเหนือ ผู้ใช้เหล่านี้จะถูกเปลี่ยนเส้นทางไปยังหน้าอัปเดตหลอกลวงที่กระตุ้นให้ดาวน์โหลด FrigidStealer ซึ่งเป็นโปรแกรมขโมยข้อมูลที่เพิ่งได้รับการระบุ
เพื่อข้ามคุณสมบัติความปลอดภัย Gatekeeper ของ Apple โปรแกรมติดตั้ง FrigidStealer กำหนดให้ผู้ใช้เปิดแอปพลิเคชันที่ไม่ได้ลงนามด้วยตนเอง เมื่อดำเนินการแล้ว ไฟล์ปฏิบัติการ Mach-O ที่ฝังไว้จะติดตั้งภัยคุกคาม ส่งผลให้อาชญากรรมทางไซเบอร์ที่กำหนดเป้าหมายเป็น macOS ทวีความรุนแรงมากขึ้น
FrigidStealer ทำงานอย่างไร
FrigidStealer ถูกสร้างขึ้นโดยใช้ภาษาการเขียนโปรแกรม Go และมีคุณสมบัติการลงนามเฉพาะกิจ โดยเฉพาะอย่างยิ่ง มันใช้โครงการ WailsIO ซึ่งทำให้สามารถแสดงเนื้อหาภายในเบราว์เซอร์ของผู้ใช้ได้ กลวิธีนี้ช่วยเพิ่มภาพลวงตาว่าโปรแกรมติดตั้งที่เป็นอันตรายนั้นถูกต้องตามกฎหมาย ทำให้มีโอกาสที่ไวรัสจะติดไวรัสได้สำเร็จมากขึ้น
เมื่อดำเนินการแล้ว FrigidStealer จะใช้ AppleScript เพื่อขอรหัสผ่านระบบของผู้ใช้ โดยให้สิทธิ์ระดับสูงแก่ผู้ใช้ ด้วยการเข้าถึงนี้ ภัยคุกคามสามารถเก็บเกี่ยวไฟล์ ข้อมูลเบราว์เซอร์ที่ละเอียดอ่อน Apple Notes และข้อมูลที่เกี่ยวข้องกับสกุลเงินดิจิทัล ซึ่งก่อให้เกิดความเสี่ยงอย่างมากต่อผู้ใช้ที่ได้รับผลกระทบ
ภาพรวม: แคมเปญมัลแวร์บนเว็บ
การใช้เว็บไซต์ที่ถูกบุกรุกเป็นกลไกในการส่งมอบมัลแวร์เน้นย้ำถึงแนวโน้มที่เกิดขึ้นอย่างต่อเนื่องในภัยคุกคามทางไซเบอร์ ผู้โจมตีกำลังปรับแต่งเพย์โหลดตามระบบปฏิบัติการและตำแหน่งทางภูมิศาสตร์ของเป้าหมาย เพื่อให้แน่ใจว่าจะเกิดผลกระทบสูงสุด แม้ว่าระบบ macOS จะยังไม่ค่อยพบเห็นในสภาพแวดล้อมขององค์กรเมื่อเทียบกับ Windows แต่แคมเปญนี้ตอกย้ำถึงความต้องการที่เพิ่มขึ้นของผู้ใช้ macOS ที่จะต้องเฝ้าระวังภัยคุกคามทางไซเบอร์ที่เปลี่ยนแปลงไป
