FrigidStealer Викрадач
Дослідники з кібербезпеки виявили нову кампанію, яка розгортає веб-ін’єкти для поширення раніше невідомої загрози macOS, відомої як FrigidStealer. Кампанію пов’язують із загрозою на ім’я TA2727, яка також пов’язана із загрозами крадіжки інформації, націленими на Windows (Lumma Stealer, DeerStealer) і Android ( Marcher ).
Зміст
TA2727 і його роль у ландшафті загроз
TA2727 відомий тим, що використовує підроблені оновлення для розповсюдження різних шкідливих корисних даних. Це один із нещодавно виявлених кластерів загроз поряд із TA2726, суб’єктом, який керує системою розподілу шкідливого трафіку (TDS). Ця система дозволяє поширювати зловмисне програмне забезпечення, спрямовуючи скомпрометований веб-трафік до загрозливих суб’єктів, таких як TA2727 і TA569.
Відносини між TA2726 та іншими загрозливими суб’єктами
TA2726 відіграє ключову роль у розповсюдженні зловмисного програмного забезпечення, діючи як TDS для TA2727 і TA569. Останній сумно відомий розгортанням SocGholish (також відомого як FakeUpdates), завантажувача на основі JavaScript, який маскується під оновлення браузера на скомпрометованих веб-сайтах. Принаймні з вересня 2022 року TA2726 полегшує перенаправлення трафіку для цих фінансово вмотивованих учасників загроз, що робить його важливим гравцем у середовищі кіберзагроз.
Підроблені оновлення та геотаргетовані корисні навантаження
І TA2727, і TA569 поширюють свої загрози через веб-сайти, на які введено пошкоджений JavaScript. Ці скомпрометовані сайти обманом змушують користувачів завантажувати підроблені оновлення браузера для Google Chrome або Microsoft Edge. Однак TA2727 використовує більш індивідуальний підхід, доставляючи конкретне шкідливе програмне забезпечення на основі місцезнаходження одержувача та типу пристрою.
Наприклад, якщо користувач Windows у Франції чи Великобританії відвідує інфікований веб-сайт, йому може бути запропоновано завантажити файл інсталятора MSI, який запускає Hijack Loader (DOILoader), який потім доставляє Lumma Stealer. Подібним чином користувачі Android, які перенаправляються за тією ж схемою, можуть несвідомо завантажити Marcher, сумнозвісний банківський троян, який працює більше десяти років.
Розширення атаки на користувачів macOS
Станом на січень 2025 року TA2727 розширив свою кампанію, щоб націлити її на користувачів macOS, які проживають за межами Північної Америки. Ці користувачі перенаправляються на шахрайські сторінки оновлень, які запускають завантаження FrigidStealer, нещодавно ідентифікованого викрадача інформації.
Щоб обійти функцію безпеки Apple Gatekeeper, інсталятор FrigidStealer вимагає від користувачів запуску непідписаної програми вручну. Після виконання вбудований виконуваний файл Mach-O встановлює загрозу, знаменуючи значну ескалацію кіберзлочинності, націленої на macOS.
Як працює FrigidStealer
FrigidStealer створено з використанням мови програмування Go та має спеціальні підписи. Зокрема, він використовує проект WailsIO, який дозволяє відтворювати вміст у браузері користувача. Ця тактика посилює ілюзію того, що зловмисний інсталятор є законним, збільшуючи ймовірність успішного зараження.
Після виконання FrigidStealer використовує AppleScript для запиту системного пароля користувача, надаючи йому підвищені привілеї. Завдяки такому доступу загроза може збирати файли, конфіденційні дані веб-переглядача, Apple Notes і інформацію, пов’язану з криптовалютою, становлячи значний ризик для постраждалих користувачів.
Більша картина: веб-кампанії зловмисного програмного забезпечення
Використання скомпрометованих веб-сайтів як механізмів доставки зловмисного програмного забезпечення підкреслює постійну тенденцію кіберзагроз. Зловмисники налаштовують корисне навантаження на основі операційної системи та географічного розташування цілі, забезпечуючи максимальний вплив. Хоча системи macOS залишаються менш поширеними в корпоративних середовищах порівняно з Windows, ця кампанія підсилює зростаючу потребу користувачів macOS залишатися пильними щодо нових кіберзагроз.
