Kẻ trộm FrigidStealer
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch mới triển khai Web injects để phân phối một mối đe dọa macOS chưa được xác định trước đây có tên là FrigidStealer. Chiến dịch này có liên quan đến một tác nhân đe dọa có tên là TA2727, người này cũng có liên quan đến các mối đe dọa đánh cắp thông tin nhắm vào Windows (Lumma Stealer, DeerStealer) và Android ( Marcher ).
Mục lục
TA2727 và vai trò của nó trong bối cảnh đe dọa
TA2727 được biết đến với việc sử dụng mồi nhử cập nhật giả để phân phối nhiều loại tải trọng độc hại. Đây là một trong những cụm đe dọa mới được xác định cùng với TA2726, một tác nhân được đánh giá là vận hành hệ thống phân phối lưu lượng độc hại (TDS). Hệ thống này cho phép phát tán phần mềm độc hại bằng cách chuyển hướng lưu lượng web bị xâm phạm đến các tác nhân đe dọa như TA2727 và TA569.
Mối quan hệ giữa TA2726 và các tác nhân đe dọa khác
TA2726 đóng vai trò quan trọng trong việc phân phối phần mềm độc hại bằng cách hoạt động như một TDS cho cả TA2727 và TA569. TA569 nổi tiếng vì triển khai SocGholish (còn được gọi là FakeUpdates), một trình tải dựa trên JavaScript ngụy trang thành bản cập nhật trình duyệt trên các trang web bị xâm phạm. Kể từ ít nhất tháng 9 năm 2022, TA2726 đã tạo điều kiện chuyển hướng lưu lượng truy cập cho các tác nhân đe dọa có động cơ tài chính này, khiến nó trở thành một tác nhân thiết yếu trong bối cảnh đe dọa mạng.
Cập nhật giả mạo và tải trọng nhắm mục tiêu theo địa lý
Cả TA2727 và TA569 đều phân phối các mối đe dọa của chúng thông qua các trang web bị nhiễm JavaScript bị hỏng. Các trang web bị xâm phạm này lừa người dùng tải xuống các bản cập nhật trình duyệt giả mạo cho Google Chrome hoặc Microsoft Edge. Tuy nhiên, TA2727 sử dụng một phương pháp tiếp cận được thiết kế riêng hơn, phân phối phần mềm độc hại cụ thể dựa trên vị trí và loại thiết bị của người nhận.
Ví dụ, nếu người dùng Windows ở Pháp hoặc Anh truy cập trang web bị nhiễm, họ có thể được nhắc tải xuống tệp cài đặt MSI khởi chạy Hijack Loader (DOILoader), sau đó cung cấp Lumma Stealer. Tương tự, người dùng Android được chuyển hướng qua cùng một chương trình có thể vô tình tải xuống Marcher, một Trojan ngân hàng khét tiếng đã hoạt động trong hơn một thập kỷ.
Mở rộng cuộc tấn công sang người dùng macOS
Tính đến tháng 1 năm 2025, TA2727 đã mở rộng chiến dịch của mình để nhắm mục tiêu đến người dùng macOS cư trú bên ngoài Bắc Mỹ. Những người dùng này được chuyển hướng đến các trang cập nhật gian lận kích hoạt việc tải xuống FrigidStealer, một trình đánh cắp thông tin mới được xác định.
Để vượt qua tính năng bảo mật Gatekeeper của Apple, trình cài đặt FrigidStealer yêu cầu người dùng khởi chạy ứng dụng chưa được ký theo cách thủ công. Sau khi thực thi, tệp thực thi Mach-O nhúng sẽ cài đặt mối đe dọa, đánh dấu sự leo thang đáng kể trong tội phạm mạng nhắm vào macOS.
FrigidStealer hoạt động như thế nào
FrigidStealer được xây dựng bằng ngôn ngữ lập trình Go và có tính năng ký ad-hoc. Đáng chú ý, nó sử dụng dự án WailsIO, cho phép hiển thị nội dung trong trình duyệt của người dùng. Chiến thuật này tăng cường ảo giác rằng trình cài đặt độc hại là hợp pháp, tăng khả năng lây nhiễm thành công.
Sau khi thực thi, FrigidStealer sử dụng AppleScript để yêu cầu mật khẩu hệ thống của người dùng, cấp cho nó các đặc quyền nâng cao. Với quyền truy cập này, mối đe dọa có thể thu thập các tệp, dữ liệu trình duyệt nhạy cảm, Apple Notes và thông tin liên quan đến tiền điện tử, gây ra rủi ro đáng kể cho người dùng bị ảnh hưởng.
Bức tranh toàn cảnh: Các chiến dịch phần mềm độc hại trên web
Việc sử dụng các trang web bị xâm phạm làm cơ chế phân phối phần mềm độc hại làm nổi bật xu hướng đang diễn ra trong các mối đe dọa mạng. Những kẻ tấn công đang tùy chỉnh các tải trọng dựa trên hệ điều hành và vị trí địa lý của mục tiêu, đảm bảo tác động tối đa. Mặc dù các hệ thống macOS vẫn ít phổ biến hơn trong môi trường doanh nghiệp so với Windows, chiến dịch này củng cố nhu cầu ngày càng tăng của người dùng macOS trong việc cảnh giác trước các mối đe dọa mạng đang phát triển.
