FrigidStealer Dieb
Cybersicherheitsforscher haben eine neue Kampagne entdeckt, die Web-Injects verwendet, um eine bisher nicht identifizierte macOS-Bedrohung namens FrigidStealer zu verbreiten. Die Kampagne wurde mit einem Bedrohungsakteur namens TA2727 in Verbindung gebracht, der auch mit Bedrohungen zum Diebstahl von Informationen in Verbindung gebracht wurde, die auf Windows (Lumma Stealer, DeerStealer) und Android ( Marcher ) abzielen.
Inhaltsverzeichnis
TA2727 und seine Rolle in der Bedrohungslandschaft
TA2727 ist dafür bekannt, gefälschte Update-Köder zu verwenden, um verschiedene bösartige Payloads zu verteilen. Es ist neben TA2726, einem Akteur, der ein bösartiges Traffic-Distributionssystem (TDS) betreibt, einer der neu identifizierten Bedrohungscluster. Dieses System ermöglicht die Verbreitung von Malware, indem es kompromittierten Web-Traffic an Bedrohungsakteure wie TA2727 und TA569 weiterleitet.
Die Beziehung zwischen TA2726 und anderen Bedrohungsakteuren
TA2726 spielt eine Schlüsselrolle bei der Verbreitung von Malware, indem es als TDS für TA2727 und TA569 fungiert. Letzterer ist dafür berüchtigt, SocGholish (auch bekannt als FakeUpdates) einzusetzen, einen JavaScript-basierten Loader, der sich auf kompromittierten Websites als Browser-Update tarnt. Seit mindestens September 2022 erleichtert TA2726 diesen finanziell motivierten Bedrohungsakteuren die Verkehrsumleitung und ist damit ein wesentlicher Akteur in der Cyber-Bedrohungslandschaft.
Gefälschte Updates und geografisch ausgerichtete Payloads
Sowohl TA2727 als auch TA569 verbreiten ihre Bedrohungen über Websites, die mit beschädigtem JavaScript infiziert sind. Diese kompromittierten Websites verleiten Benutzer dazu, gefälschte Browser-Updates für Google Chrome oder Microsoft Edge herunterzuladen. TA2727 verwendet jedoch einen maßgeschneiderten Ansatz und liefert spezifische Malware basierend auf dem Standort und Gerätetyp des Empfängers.
Wenn beispielsweise ein Windows-Benutzer in Frankreich oder Großbritannien eine infizierte Website besucht, wird er möglicherweise aufgefordert, eine MSI-Installationsdatei herunterzuladen, die Hijack Loader (DOILoader) startet, der dann Lumma Stealer ausliefert. Ebenso können Android-Benutzer, die über dasselbe Schema umgeleitet werden, unwissentlich Marcher herunterladen, einen berüchtigten Banking-Trojaner, der seit über einem Jahrzehnt aktiv ist.
Ausweitung des Angriffs auf macOS-Benutzer
Ab Januar 2025 hat TA2727 seine Kampagne ausgeweitet und zielt nun auf macOS-Benutzer außerhalb Nordamerikas ab. Diese Benutzer werden auf betrügerische Update-Seiten umgeleitet, die den Download von FrigidStealer auslösen, einem neu identifizierten Informationsdieb.
Um Apples Gatekeeper-Sicherheitsfunktion zu umgehen, müssen Benutzer die nicht signierte Anwendung manuell starten, um FrigidStealer zu installieren. Nach der Ausführung installiert die eingebettete Mach-O-Programmdatei die Bedrohung, was eine erhebliche Zunahme der auf macOS abzielenden Cyberkriminalität bedeutet.
So funktioniert FrigidStealer
FrigidStealer wurde mit der Programmiersprache Go entwickelt und verfügt über Ad-hoc-Signaturen. Insbesondere nutzt es das WailsIO-Projekt, das die Darstellung von Inhalten im Browser des Benutzers ermöglicht. Diese Taktik verstärkt die Illusion, dass das bösartige Installationsprogramm legitim ist, und erhöht die Wahrscheinlichkeit einer erfolgreichen Infektion.
Nach der Ausführung verwendet FrigidStealer AppleScript, um das Systemkennwort des Benutzers anzufordern und ihm erweiterte Berechtigungen zu gewähren. Mit diesem Zugriff kann die Bedrohung Dateien, vertrauliche Browserdaten, Apple Notes und Informationen zu Kryptowährungen abgreifen, was ein erhebliches Risiko für betroffene Benutzer darstellt.
Das große Ganze: Webbasierte Malware-Kampagnen
Die Verwendung kompromittierter Websites als Verbreitungsmechanismus für Malware unterstreicht einen anhaltenden Trend bei Cyberbedrohungen. Angreifer passen ihre Payloads an das Betriebssystem und den geografischen Standort des Ziels an, um eine maximale Wirkung zu erzielen. Obwohl macOS-Systeme im Vergleich zu Windows in Unternehmensumgebungen nach wie vor weniger verbreitet sind, unterstreicht diese Kampagne die wachsende Notwendigkeit für macOS-Benutzer, gegenüber sich entwickelnden Cyberbedrohungen wachsam zu bleiben.
