FrigidStealer 窃贼

网络安全研究人员发现了一项新的活动，该活动部署了 Web 注入来传播一种之前未被发现的 macOS 威胁，称为 FrigidStealer。该活动与一名被称为 TA2727 的威胁行为者有关，该行为者还与针对 Windows（Lumma Stealer、 DeerStealer）和 Android（ Marcher ）的信息窃取威胁有关。

TA2727 及其在威胁形势中的作用

TA2727 因使用虚假更新诱饵分发各种恶意负载而闻名。它是与 TA2726 一起新发现的威胁集群之一，TA2726 被评估为操作恶意流量分发系统 (TDS) 的参与者。该系统通过将受感染的网络流量引导至威胁参与者（例如 TA2727 和 TA569）来实现恶意软件的传播。

TA2726 与其他威胁行为者的关系

TA2726 充当 TA2727 和 TA569 的 TDS，在恶意软件传播中发挥着关键作用。后者因部署 SocGholish（也称为 FakeUpdates）而臭名昭著，这是一种基于 JavaScript 的加载程序，伪装成受感染网站上的浏览器更新。自 2022 年 9 月以来，TA2726 一直为这些以经济为目的的威胁行为者提供流量重定向，使其成为网络威胁领域中不可或缺的参与者。

虚假更新和针对地理的有效负载

TA2727 和 TA569 都通过注入了损坏的 JavaScript 的网站传播威胁。这些被入侵的网站会诱骗用户下载虚假的 Google Chrome 或 Microsoft Edge 浏览器更新。然而，TA2727 采用了更有针对性的方法，根据收件人的位置和设备类型传播特定的恶意软件。

例如，如果法国或英国的 Windows 用户访问受感染的网站，他们可能会被提示下载一个 MSI 安装程序文件，该文件会启动 Hijack Loader (DOILoader)，然后它会传播 Lumma Stealer。同样，通过相同方案重定向的 Android 用户可能会在不知情的情况下下载 Marcher，这是一种臭名昭著的银行木马，已经活跃了十多年。

将攻击范围扩大至 macOS 用户

截至 2025 年 1 月，TA2727 已将其攻击活动扩大到针对居住在北美以外的 macOS 用户。这些用户被重定向到欺诈性更新页面，从而触发下载新发现的信息窃取程序 FrigidStealer。

为了绕过 Apple 的 Gatekeeper 安全功能，FrigidStealer 安装程序要求用户手动启动未签名的应用程序。一旦执行，嵌入的 Mach-O 可执行文件就会安装威胁，这标志着针对 macOS 的网络犯罪显著升级。

FrigidStealer 的运作方式

FrigidStealer 使用 Go 编程语言构建，具有临时签名功能。值得注意的是，它利用了 WailsIO 项目，该项目允许在用户的浏览器中呈现内容。这种策略增强了恶意安装程序合法的假象，增加了成功感染的可能性。

一旦执行，FrigidStealer 就会使用 AppleScript 请求用户的系统密码，并授予其提升的权限。通过这种访问，威胁可以收集文件、敏感浏览器数据、Apple Notes 和加密货币相关信息，对受影响的用户构成重大风险。

更大范围：基于 Web 的恶意软件活动

利用受感染的网站作为恶意软件传播机制，凸显了网络威胁的持续趋势。攻击者根据目标的操作系统和地理位置定制有效载荷，以确保最大程度地发挥影响。尽管与 Windows 相比，macOS 系统在企业环境中仍然不太常见，但此次活动强调了 macOS 用户对不断演变的网络威胁保持警惕的必要性。