FrigidStealer Stealer
Natuklasan ng mga mananaliksik sa cybersecurity ang isang bagong campaign na nagde-deploy ng mga Web inject upang ipamahagi ang isang hindi pa nakikilalang banta sa macOS na kilala bilang FrigidStealer. Ang kampanya ay nauugnay sa isang banta na aktor na tinawag na TA2727, na nauugnay din sa mga banta sa pagnanakaw ng impormasyon na nagta-target sa Windows (Lumma Stealer, DeerStealer) at Android ( Marcher ).
Talaan ng mga Nilalaman
TA2727 at ang Papel Nito sa Landscape ng Banta
Kilala ang TA2727 sa paggamit ng mga pekeng update na pang-akit upang ipamahagi ang iba't ibang malisyosong payload. Isa ito sa mga bagong natukoy na cluster ng banta sa tabi ng TA2726, isang aktor na nasuri upang magpatakbo ng isang malisyosong sistema ng pamamahagi ng trapiko (TDS). Ang sistemang ito ay nagbibigay-daan sa pagkalat ng malware sa pamamagitan ng pagdidirekta sa nakompromisong trapiko sa web sa pagbabanta ng mga aktor gaya ng TA2727 at TA569.
Ang Ugnayan sa Pagitan ng TA2726 at Iba Pang Mga Aktor ng Banta
Ang TA2726 ay gumaganap ng isang mahalagang papel sa pamamahagi ng malware sa pamamagitan ng pagkilos bilang isang TDS para sa parehong TA2727 at TA569. Ang huli ay kilalang-kilala sa pag-deploy ng SocGholish (kilala rin bilang FakeUpdates), isang JavaScript-based na loader na nagpapanggap bilang isang update ng browser sa mga nakompromisong website. Mula noong hindi bababa sa Setyembre 2022, pinadali ng TA2726 ang pag-redirect ng trapiko para sa mga aktor ng pagbabanta na ito dahil sa pananalapi, na ginagawa itong mahalagang manlalaro sa landscape ng cyber threat.
Mga Pekeng Update at Geo-Targeted Payload
Parehong ipinamahagi ng TA2727 at TA569 ang kanilang mga banta sa pamamagitan ng mga website na na-inject ng sirang JavaScript. Nililinlang ng mga nakompromisong site na ito ang mga user sa pag-download ng mga pekeng update sa browser para sa Google Chrome o Microsoft Edge. Gayunpaman, gumagamit ang TA2727 ng mas iniangkop na diskarte, na naghahatid ng partikular na malware batay sa lokasyon at uri ng device ng tatanggap.
Halimbawa, kung bumisita ang isang user ng Windows sa France o UK sa isang infected na website, maaaring i-prompt silang mag-download ng MSI installer file na naglulunsad ng Hijack Loader (DOILoader), na naghahatid ng Lumma Stealer. Katulad nito, ang mga gumagamit ng Android na na-redirect sa parehong pamamaraan ay maaaring hindi sinasadyang mag-download ng Marcher, isang kilalang Trojan sa pagbabangko na naging aktibo sa loob ng mahigit isang dekada.
Pagpapalawak ng Pag-atake sa Mga User ng macOS
Noong Enero 2025, pinalawak ng TA2727 ang kampanya nito upang i-target ang mga user ng macOS na naninirahan sa labas ng North America. Ang mga user na ito ay na-redirect sa mga mapanlinlang na pahina ng pag-update na nagpapalitaw sa pag-download ng FrigidStealer, isang bagong natukoy na magnanakaw ng impormasyon.
Upang i-bypass ang tampok na panseguridad ng Gatekeeper ng Apple, ang FrigidStealer installer ay nangangailangan ng mga user na ilunsad nang manu-mano ang unsigned application. Kapag naisakatuparan, ang naka-embed na Mach-O executable ay nag-i-install ng banta, na nagmamarka ng isang makabuluhang pagtaas sa cybercrime na naka-target sa macOS.
Paano Gumagana ang FrigidStealer
Ang FrigidStealer ay binuo gamit ang Go programming language at nagtatampok ng ad-hoc signing. Kapansin-pansin, ginagamit nito ang proyekto ng WailsIO, na nagbibigay-daan sa pag-render ng nilalaman sa loob ng browser ng user. Pinahuhusay ng taktikang ito ang ilusyon na lehitimo ang nakakahamak na installer, na nagdaragdag ng posibilidad ng matagumpay na impeksiyon.
Sa sandaling naisakatuparan, ginagamit ng FrigidStealer ang AppleScript upang humiling ng password ng system ng user, na nagbibigay ng mga mataas na pribilehiyo. Sa pag-access na ito, ang banta ay maaaring mag-ani ng mga file, sensitibong data ng browser, Apple Notes, at impormasyong nauugnay sa cryptocurrency, na nagdudulot ng malaking panganib sa mga apektadong user.
Ang Mas Malaking Larawan: Mga Web-Based Malware Campaign
Ang paggamit ng mga nakompromisong website bilang mga mekanismo ng paghahatid ng malware ay nagha-highlight ng patuloy na kalakaran sa mga banta sa cyber. Kino-customize ng mga attacker ang mga payload batay sa operating system ng target at heyograpikong lokasyon, na tinitiyak ang maximum na epekto. Bagama't hindi gaanong karaniwan ang mga macOS system sa mga enterprise environment kumpara sa Windows, pinatitibay ng campaign na ito ang lumalaking pangangailangan para sa mga user ng macOS na manatiling mapagbantay laban sa mga umuusbong na banta sa cyber.
