Istraživači cyber sigurnosti upozoravaju na novu kampanju koja koristi web injekcije za isporuku novog Apple macOS malvera poznatog kao FrigidStealer.
Ova aktivnost pripisana je prethodno nedokumentiranom hakeru TA2727, koji je takođe povezan s krađom informacija na drugim platformama, uključujući Windows (Lumma Stealer ili DeerStealer) i Android (Marcher).
“TA2727 je haker koji koristi mamce u obliku lažnih ažuriranja kako bi distribuisao razne maliciozne programe,” navodi Proofpoint Threat Research Team u izvještaju podijeljenom sa The Hacker News.
Ovaj haker dio je šire mreže, zajedno s TA2726, koji je procijenjen kao operator malicioznoh sistema za distribuciju saobraćaja (TDS), olakšavajući distribuciju malvera drugim napadačima. TA2726 je aktivan najmanje od septembra 2022. i sarađuje s drugim finansijski motivisanim grupama, uključujući TA569, koja distribuisa JavaScript-based loader malware poznat kao SocGholish (FakeUpdates). Ovaj malver se često maskira kao ažuriranje pretraživača na legitimnim, ali kompromitovanim web stranicama.
Kako Funkcioniše napad?
Obje grupe, TA569 i TA2727, koriste maliciozne JavaScript web injekcije kako bi prevarile korisnike da preuzmu malver pod izgovorom ažuriranja pretraživača, poput Google Chrome ili Microsoft Edge.
Međutim, TA2727 se razlikuje po tome što koristi napadne lance koji isporučuju različite maliciozne programe zavisno od geografske lokacije i uređaja žrtve:
- Ako korisnik iz Francuske ili U.K. posjeti zaraženi sajt s Windows uređaja, preuzet će MSI instalacijski fajl koji pokreće Hijack Loader (DOILoader), koji zatim učitava Lumma Stealer.
- Ako posjeti s Android uređaja, preusmjerava se na lažnu stranicu ažuriranja koja instalira bankarski trojanac Marcher, aktivan više od deset godina.
- Od januara 2025., kampanja sada cilja i macOS korisnike izvan Sjeverne Amerike, preusmjeravajući ih na lažnu stranicu koja preuzima FrigidStealer, novi stealer malver za Mac.
Kako FrigidStealer inficira macOS?
Baš kao i drugi macOS malveri, FrigidStealer zahtijeva da korisnik ručno pokrene nepoznatu aplikaciju, čime zaobilazi zaštitu Gatekeeper-a. Nakon pokretanja, izvršni fajl Mach-O, koji je ugrađen u aplikaciju, instalira malver na sistem.
“Izvršni fajl je napisan u Go programskom jeziku i ad-hoc potpisan,” navodi Proofpoint. “Napravljen je pomoću WailsIO projekta, koji prikazuje sadržaj u korisnikovom pretraživaču, čime prevara izgleda legitimnije.”
Jednom instaliran, FrigidStealer koristi AppleScript da prevari korisnika da unese svoju administratorsku lozinku, čime dobija povišene privilegije. Ovo omogućava napadačima da:
- Prikupljaju fajlove i osjetljive informacije iz pretraživača,
- Presreću podatke iz Apple Notes aplikacije,
- Kradom pristupaju aplikacijama vezanim za kriptovalute.
Šira prijetnja macOS korisnicima
Prema Proofpointu, cyber kriminalci koriste kompromitovane web stranice za distribuciju malvera koji ciljaju i poslovne i privatne korisnike.
“Ovakve web injekcije sada sve češće isporučuju malver prilagođen žrtvi, uključujući macOS korisnike, koji su i dalje manje zastupljeni u poslovnom okruženju nego Windows,” navodi kompanija.
Ova prijetnja dolazi u isto vrijeme kada su istraživači Denwp Research otkrili Tiny FUD, novi neotkriveni macOS backdoor, koji koristi manipulaciju imenima, DYLD injekciju i C2 komandu kontrolu.
Takođe su se pojavili i drugi ukradeni malveri, poput Astral Stealer i Flesh Stealer, dizajnisani da:
- Prikupljaju osjetljive podatke,
- Izbjegnu detekciju,
- Održe dugotrajnu prisutnost na kompromitovanim sistemima.
Posebno je Flesh Stealer zanimljiv jer može prepoznati virtualne mašine (VM) i odbiti izvršenje unutar njih, kako bi izbjegao forenzičku analizu od strane istraživača sajber sigurnosti.
Izvor:The Hacker News
