FrigidStealer 竊賊

網路安全研究人員發現了一項新的活動，該活動部署了 Web 注入來傳播一種以前未被發現的 macOS 威脅，稱為 FrigidStealer。該活動與一個名為 TA2727 的威脅行為者有關，該行為者還與針對 Windows（Lumma Stealer、 DeerStealer）和 Android（ Marcher ）的資訊竊取威脅有關。

TA2727 及其在威脅情勢中的作用

TA2727 因使用虛假更新誘餌來傳播各種惡意負載而聞名。它是與 TA2726 一起新發現的威脅群集之一，TA2726 是一個被評估為操作惡意流量分發系統 (TDS) 的威脅參與者。該系統透過將受感染的網路流量導向 TA2727 和 TA569 等威脅行為者，從而實現惡意軟體的傳播。

TA2726 與其他威脅行為者的關係

TA2726 作為 TA2727 和 TA569 的 TDS，在惡意軟體傳播中發揮關鍵作用。後者因部署 SocGholish（也稱為 FakeUpdates）而臭名昭著，這是一個基於 JavaScript 的載入器，偽裝成受感染網站上的瀏覽器更新。自 2022 年 9 月以來，TA2726 一直為這些出於經濟動機的威脅行為者提供流量重定向服務，使其成為網路威脅領域中不可或缺的參與者。

虛假更新和針對地理的有效負載

TA2727 和 TA569 都透過注入了損壞的 JavaScript 的網站來傳播其威脅。這些被感染的網站誘騙用戶下載虛假的 Google Chrome 或 Microsoft Edge 瀏覽器更新。然而，TA2727 採用了更客製化的方法，根據接收者的位置和裝置類型傳遞特定的惡意軟體。

例如，如果法國或英國的 Windows 用戶訪問受感染的網站，他們可能會被提示下載 MSI 安裝程式文件，該文件會啟動 Hijack Loader（DOILoader），然後它會傳播 Lumma Stealer。類似地，透過相同方案重定向的 Android 用戶可能會在不知不覺中下載 Marcher，這是一種已活躍十多年的臭名昭著的銀行木馬。

將攻擊範圍擴大至 macOS 用戶

截至 2025 年 1 月，TA2727 已將其攻擊活動範圍擴大到針對居住在北美以外的 macOS 用戶。這些用戶被重定向到詐欺性更新頁面，觸發下載新發現的資訊竊取程式 FrigidStealer。

為了繞過 Apple 的 Gatekeeper 安全功能，FrigidStealer 安裝程式要求使用者手動啟動未簽署的應用程式。一旦執行，嵌入式 Mach-O 可執行檔就會安裝威脅，標誌著針對 macOS 的網路犯罪顯著升級。

FrigidStealer 的運作方式

FrigidStealer 使用 Go 程式語言構建，並具有臨時簽名功能。值得注意的是，它利用了 WailsIO 項目，該項目能夠在使用者的瀏覽器中呈現內容。這種策略增強了惡意安裝程式合法的假象，增加了成功感染的可能性。

一旦執行，FrigidStealer 就會使用 AppleScript 請求使用者的系統密碼，並授予其提升的權限。透過這種存取權限，威脅可以收集文件、敏感瀏覽器資料、Apple Notes 和加密貨幣相關訊息，對受影響的用戶構成重大風險。

更大範圍：基於 Web 的惡意軟體活動

利用受感染的網站作為惡意軟體傳送機制凸顯了網路威脅的持續趨勢。攻擊者根據目標的作業系統和地理位置自訂有效載荷，以確保最大程度地發揮影響力。儘管與 Windows 相比，macOS 系統在企業環境中不太常見，但此活動強化了 macOS 用戶對不斷演變的網路威脅保持警惕的日益增長的需求。