网络安全研究人员警告称,一种新的恶意软件活动利用网络注入来传播一种名为 FrigidStealer 的新型苹果 macOS 恶意软件。
这一活动被归因于一个此前未被记录的威胁行为者 TA2727,该行为者还与针对 Windows(Lumma Stealer 或 DeerStealer)和 Android(Marcher)平台的信息窃取器有关。
TA2727 是一个“使用假更新主题诱饵来分发各种恶意软件载荷的威胁行为者”,Proofpoint 威胁研究团队在一份报告中表示。
TA2727 是新近识别的威胁活动集群之一,与 TA2726 一起,后者被认为是一个恶意流量分发系统(TDS)运营商,为其他威胁行为者分发流量以传播恶意软件。这个以经济利益为动机的威胁行为者自 2022 年 9 月以来一直活跃。
TA2726 据称是 TA2727 和另一个名为 TA569 的威胁行为者的 TDS,后者负责分发一种基于 JavaScript 的加载器恶意软件 SocGholish(也称为 FakeUpdates),该软件通常在合法但已被攻陷的网站上伪装成浏览器更新。
“TA2726 以经济利益为动机,与其他以经济利益为动机的行为者如 TA569 和 TA2727 合作,”该公司指出。“也就是说,这个行为者很可能负责导致其他威胁行为者操作注入的网络服务器或网站攻陷。”
TA569 和 TA2727 有一些相似之处,它们都通过恶意 JavaScript 网站注入来传播,这些注入模仿了 Google Chrome 或 Microsoft Edge 等网络浏览器的更新。TA2727 的不同之处在于使用了针对不同地理区域或设备提供不同载荷的攻击链。
如果用户在法国或英国的 Windows 计算机上访问受感染网站,他们会收到下载 MSI 安装程序文件的提示,该文件会启动 Hijack Loader(也称为 DOILoader),进而加载 Lumma Stealer。
另一方面,从 Android 设备访问相同的假更新重定向时,会导致部署一种名为 Marcher 的银行木马,该木马在野外已被检测到超过十年。
假浏览器更新
不仅如此,从 2025 年 1 月开始,该活动已更新,开始针对北美以外的 macOS 用户,将他们重定向到一个假更新页面,下载一种名为 FrigidStealer 的新型信息窃取器。
FrigidStealer 安装程序与其他 macOS 恶意软件一样,需要用户明确启动未签名应用以绕过 Gatekeeper 保护,之后会运行嵌入的 Mach-O 可执行文件来安装恶意软件。
“该可执行文件是用 Go 编写的,并进行了临时签名,”Proofpoint 表示。“该可执行文件是使用 WailsIO 项目构建的,该项目在用户的浏览器中呈现内容。这增加了对受害者的社会工程,暗示 Chrome 或 Safari 安装程序是合法的。”
FrigidStealer 与其他针对 macOS 系统的窃取器家族并无二致。它利用 AppleScript 提示用户输入系统密码,从而获得提升的权限,以窃取来自网络浏览器、Apple Notes 和加密货币相关应用的文件和各种敏感信息。
“行为者正在利用网络攻陷来传播针对企业和消费者用户 的恶意软件,”该公司表示。“可以预见,这些网络注入将传播针对收件人的定制恶意软件,包括 Mac 用户,他们在企业环境中的数量仍然少于 Windows 用户。”
这一事件发生在 Denwp Research 的 Tonmoy Jitu 披露另一种完全不可检测的 macOS 后门 Tiny FUD 之后,该后门利用名称操作、动态链接守护进程(DYLD)注入和基于命令与控制(C2)的命令执行。
这也紧随新型信息窃取恶意软件 Astral Stealer 和 Flesh Stealer 的出现,它们旨在收集敏感信息、逃避检测并在受攻陷系统上保持持久性。
“Flesh Stealer 在检测虚拟机(VM)环境方面特别有效,”Flashpoint 在最近的一份报告中表示。“它会避免在 VM 上执行,以防止任何潜在的取证分析,展示了对安全研究实践的理解。”
发表评论