FrigidStealer Stealer
Siber güvenlik araştırmacıları, FrigidStealer olarak bilinen daha önce tanımlanmamış bir macOS tehdidini dağıtmak için Web enjeksiyonları kullanan yeni bir kampanyayı ortaya çıkardı. Kampanya, Windows'u (Lumma Stealer, DeerStealer) ve Android'i ( Marcher ) hedef alan bilgi çalma tehditleriyle de ilişkilendirilen TA2727 adlı bir tehdit aktörüyle ilişkilendirildi.
İçindekiler
TA2727 ve Tehdit Ortamındaki Rolü
TA2727, çeşitli kötü amaçlı yükleri dağıtmak için sahte güncelleme yemleri kullanmasıyla bilinir. Kötü amaçlı trafik dağıtım sistemi (TDS) çalıştırdığı değerlendirilen bir aktör olan TA2726 ile birlikte yeni tanımlanan tehdit kümelerinden biridir. Bu sistem, tehlikeye atılmış web trafiğini TA2727 ve TA569 gibi tehdit aktörlerine yönlendirerek kötü amaçlı yazılımların yayılmasını sağlar.
TA2726 ile Diğer Tehdit Aktörleri Arasındaki İlişki
TA2726, hem TA2727 hem de TA569 için bir TDS görevi görerek kötü amaçlı yazılım dağıtımında önemli bir rol oynar. İkincisi, tehlikeye atılmış web sitelerinde tarayıcı güncellemesi gibi görünen JavaScript tabanlı bir yükleyici olan SocGholish'i (aynı zamanda FakeUpdates olarak da bilinir) dağıtmasıyla ünlüdür. En azından Eylül 2022'den beri TA2726, bu finansal olarak motive olmuş tehdit aktörleri için trafik yönlendirmesini kolaylaştırarak onu siber tehdit ortamında önemli bir oyuncu haline getirmiştir.
Sahte Güncellemeler ve Coğrafi Hedefli Yükler
Hem TA2727 hem de TA569, tehditlerini bozuk JavaScript enjekte edilmiş web siteleri aracılığıyla dağıtır. Bu tehlikeye atılmış siteler, kullanıcıları Google Chrome veya Microsoft Edge için sahte tarayıcı güncellemeleri indirmeleri için kandırır. Ancak, TA2727 daha özel bir yaklaşım kullanır ve alıcının konumuna ve cihaz türüne göre belirli kötü amaçlı yazılımlar sunar.
Örneğin, Fransa veya İngiltere'deki bir Windows kullanıcısı virüslü bir web sitesini ziyaret ederse, Hijack Loader'ı (DOILoader) başlatan bir MSI yükleyici dosyasını indirmesi istenebilir ve bu da Lumma Stealer'ı sunar. Benzer şekilde, aynı şema üzerinden yönlendirilen Android kullanıcıları, on yıldan uzun süredir aktif olan kötü şöhretli bir bankacılık Truva Atı olan Marcher'ı bilmeden indirebilir.
Saldırının macOS Kullanıcılarına Genişletilmesi
Ocak 2025 itibarıyla TA2727, kampanyasını Kuzey Amerika dışında ikamet eden macOS kullanıcılarını hedef alacak şekilde genişletti. Bu kullanıcılar, yeni tanımlanan bir bilgi hırsızı olan FrigidStealer'ın indirilmesini tetikleyen sahte güncelleme sayfalarına yönlendiriliyor.
Apple'ın Gatekeeper güvenlik özelliğini aşmak için FrigidStealer yükleyicisi kullanıcıların imzalanmamış uygulamayı manuel olarak başlatmasını gerektirir. Yürütüldüğünde, gömülü Mach-O yürütülebilir dosyası tehdidi yükleyerek macOS'u hedef alan siber suçlarda önemli bir artışa işaret eder.
FrigidStealer Nasıl Çalışır
FrigidStealer, Go programlama dili kullanılarak oluşturulmuştur ve ad-hoc imzalama özelliğine sahiptir. Özellikle, kullanıcının tarayıcısında içerik oluşturmayı sağlayan WailsIO projesini kullanır. Bu taktik, kötü amaçlı yükleyicinin meşru olduğu yanılsamasını güçlendirerek başarılı enfeksiyon olasılığını artırır.
FrigidStealer yürütüldüğünde, kullanıcının sistem parolasını istemek için AppleScript'i kullanır ve ona yükseltilmiş ayrıcalıklar verir. Bu erişimle, tehdit dosyaları, hassas tarayıcı verilerini, Apple Notes'u ve kripto para birimiyle ilgili bilgileri toplayabilir ve etkilenen kullanıcılar için önemli bir risk oluşturabilir.
Daha Büyük Resim: Web Tabanlı Kötü Amaçlı Yazılım Kampanyaları
Tehlikeye atılmış web sitelerinin kötü amaçlı yazılım dağıtım mekanizmaları olarak kullanılması, siber tehditlerde devam eden bir eğilimi vurgulamaktadır. Saldırganlar, hedefin işletim sistemine ve coğrafi konumuna göre yükleri özelleştirerek maksimum etkiyi garantilemektedir. macOS sistemleri, Windows'a kıyasla kurumsal ortamlarda daha az yaygın olsa da, bu kampanya macOS kullanıcılarının gelişen siber tehditlere karşı uyanık kalmaları için artan ihtiyacı güçlendirmektedir.
