Peneliti cybersecurity memperingatkan kampanye baru yang memanfaatkan suntikan web untuk memberikan malware Apple MacOS baru yang dikenal sebagai FrigidStealer.
Kegiatan ini telah dikaitkan dengan aktor ancaman yang sebelumnya tidak berdokumen yang dikenal sebagai TA2727, dengan pencuri informasi untuk platform lain seperti Windows (Lumma Stealer atau Deersersealer) dan Android (Marcher).
TA2727 adalah “aktor ancaman yang menggunakan umpan bertema pembaruan palsu untuk mendistribusikan berbagai muatan malware,” kata tim peneliti ancaman Proofpoint dalam sebuah laporan yang dibagikan dengan Hacker News.
Ini adalah salah satu kelompok aktivitas ancaman yang baru diidentifikasi bersama TA2726, yang dinilai sebagai operator sistem distribusi lalu lintas (TDS) yang berbahaya yang memfasilitasi distribusi lalu lintas bagi aktor ancaman lainnya untuk memberikan malware. Aktor ancaman yang termotivasi secara finansial diyakini aktif sejak setidaknya September 2022.
TA2726, per perusahaan keamanan perusahaan, bertindak sebagai TDS untuk TA2727 dan aktor ancaman lain yang disebut TA569, yang bertanggung jawab atas distribusi malware loader berbasis Javascript yang disebut sebagai socgholish (alias fakut) yang sering menyamar sebagai pembaruan browser pada browser pada browser ON pada browser ON pada browser ON pada browser ON pada browser ON pada browser on on on on On Browser On On Browser On (alias FakeUPDATES) yang sering menyamar sebagai browser update browser ON Browser on situs yang sah-tetapi-dikompromikan.
“TA2726 termotivasi secara finansial dan bekerja dengan aktor lain yang termotivasi secara finansial seperti TA569 dan TA2727,” kata perusahaan itu. “Artinya, aktor ini kemungkinan besar bertanggung jawab atas server web atau kompromi situs web yang mengarah pada suntikan yang dioperasikan oleh aktor ancaman lainnya.”
Baik TA569 dan TA2727 berbagi beberapa kesamaan karena didistribusikan melalui situs web yang dikompromikan dengan situs web JavaScript berbahaya yang menyuntikkan yang meniru pembaruan browser untuk browser web seperti Google Chrome atau Microsoft Edge. Di mana TA2727 berbeda adalah penggunaan rantai serangan yang melayani muatan berbeda berdasarkan geografi atau perangkat penerima.
Jika pengguna mengunjungi situs web yang terinfeksi di Prancis atau Inggris di komputer Windows, mereka diminta untuk mengunduh file penginstal MSI yang meluncurkan Hijack Loader (alias Doiloader), yang, pada gilirannya, memuat Lumma Stealer.
Di sisi lain, pembaruan palsu yang sama mengarahkan ulang ketika dikunjungi dari perangkat Android mengarah ke penyebaran trojan perbankan yang dijuluki Marcher yang telah terdeteksi di alam liar selama lebih dari satu dekade.
Bukan itu saja. Pada Januari 2025, kampanye ini telah diperbarui untuk menargetkan pengguna macOS yang berada di luar Amerika Utara ke halaman pembaruan palsu yang mengunduh pencuri informasi baru dengan nama sandi FrigidStealer.
Pemasang FrigidStealer, seperti malware macOS lainnya, mengharuskan pengguna untuk secara eksplisit meluncurkan aplikasi yang tidak ditandatangani untuk memotong perlindungan penjaga gerbang, yang diikuti oleh Mach-O Executable yang tertanam dijalankan untuk menginstal malware.
“Yang dapat dieksekusi ditulis dalam go, dan ditandatangani ad-hoc,” kata Proofpoint. “Yang dapat dieksekusi dibangun dengan proyek Wailsio, yang membuat konten di browser pengguna. Ini menambah rekayasa sosial korban, menyiratkan bahwa penginstal krom atau safari sah.”
FrigidStealer tidak berbeda dari berbagai keluarga pencuri yang ditujukan untuk sistem macOS. Ini memanfaatkan AppleScript untuk meminta pengguna memasukkan kata sandi sistem mereka, sehingga memberikannya hak istimewa yang ditinggikan untuk memanen file dan semua jenis informasi sensitif dari browser web, catatan Apple, dan aplikasi terkait cryptocurrency.
“Aktor menggunakan kompromi web untuk memberikan malware yang menargetkan pengguna perusahaan dan konsumen,” kata perusahaan itu. “Adalah masuk akal bahwa suntikan web semacam itu akan memberikan malware yang disesuaikan dengan penerima, termasuk pengguna Mac, yang masih kurang umum di lingkungan perusahaan daripada Windows.”
Perkembangan ini datang ketika Tonmoy Jitu Denwp Research mengungkapkan detail dari backdoor macOS yang sepenuhnya tidak terdeteksi bernama Tiny FUD yang memanfaatkan manipulasi nama, injeksi Dynamic Link Daemon (DYLD), dan eksekusi komando berbasis perintah-dan-kontrol (C2).
Ini juga mengikuti kemunculan malware pencuri informasi baru seperti pencuri astral dan pencuri daging, yang keduanya dirancang untuk mengumpulkan informasi sensitif, menghindari deteksi, dan mempertahankan kegigihan pada sistem yang dikompromikan.
“Pencuri daging sangat efektif dalam mendeteksi lingkungan Virtual Machine (VM),” kata Flashpoint dalam laporan baru -baru ini. “Ini akan menghindari menjalankan VM untuk mencegah analisis forensik potensial, menunjukkan pemahaman tentang praktik penelitian keamanan.”
