Los investigadores de ciberseguridad están alertando a una nueva campaña que aprovecha los inyecciones web para ofrecer un nuevo malware Apple MacOS conocido como Frígida.
La actividad se ha atribuido a un actor de amenaza previamente indocumentado conocido como TA2727, con los robos de información para otras plataformas como Windows (Lumma Stealer o Deerstealer) y Android (Marchista).
TA2727 es un “actor de amenazas que utiliza señuelos temáticos de actualizaciones falsas para distribuir una variedad de cargas útiles de malware”, el equipo de investigación de amenazas de PROASPPOINT dicho En un informe compartido con The Hacker News.
Es uno de los grupos de actividades de amenazas recientemente identificados junto con TA2726, que se evalúa como un operador del Sistema de Distribución de Tráfico Malicioso (TDS) que facilita la distribución del tráfico para que otros actores de amenazas entreguen malware. Se cree que el actor de amenaza de motivación financiera es activo desde al menos septiembre de 2022.
TA2726, según la empresa de seguridad empresarial, actúa como un TDS para TA2727 y otro actor de amenaza llamado TA569, que es responsable de la distribución de un malware de cargador basado en JavaScript que se le conoce como Socgholish (también conocido como FakeUpdates) que a menudo se disfrazan de una actualización de navegador en sitios legítimos pero comprometidos.
“TA2726 tiene motivación financiera y trabaja con otros actores de motivación financiera como TA569 y TA2727”, señaló la compañía. “Es decir, este actor es probablemente responsable del servidor web o los compromisos del sitio web que conducen a inyecciones operadas por otros actores de amenazas”.
Tanto TA569 como TA2727 comparten algunas similitudes en el sentido de que se distribuyen a través de sitios web comprometidos con el sitio web de JavaScript malicioso inyectas que imitan actualizaciones del navegador para navegadores web como Google Chrome o Microsoft Edge. Donde TA2727 difiere es el uso de cadenas de ataque que sirven diferentes cargas útiles en función de la geografía o el dispositivo de los destinatarios.
Si un usuario visita un sitio web infectado en Francia o en el Reino Unido en una computadora de Windows, se les pide que descargue un archivo de instalador MSI que inicie Hijack Loader (también conocido como Doiloader), que, a su vez, carga el robador de lumma.
Por otro lado, la misma actualización falsa redirige cuando se lo visita desde un dispositivo Android conduce a la implementación de un troyano bancario doblado Marchista que ha sido detectado en la naturaleza Por más de una década.
Eso no es todo. A partir de enero de 2025, la campaña se ha actualizado a los usuarios de MacOS de Target que residen fuera de Norteamérica a una página de actualización falsa que descargó un nuevo robador de información con nombre en código FrigidStealer.
El instalador FrigidSealer, como otro malware MacOS, requiere que los usuarios inicien explícitamente la aplicación sin firmar para evitar las protecciones de Gatekeeper, después de lo cual se ejecuta un ejecutable de Mach-O integrado para instalar el malware.
“El ejecutable fue escrito en GO y fue firmado ad-hoc”, dijo Proofpoint. “El ejecutable fue construido con el proyecto Wailsio, que hace que el contenido del navegador del usuario. Esto se suma a la ingeniería social de la víctima, lo que implica que el instalador de Chrome o Safari era legítimo”.
Frigidstealer no es diferente de varias familias de Stealer dirigidas a los sistemas MacOS. Aprovecha a Applecript para pedirle al usuario que ingrese la contraseña de su sistema, lo que le da privilegios elevados para cosechar archivos y todo tipo de información confidencial de navegadores web, notas de Apple y aplicaciones relacionadas con las criptomonedas.
“Los actores están utilizando compromisos web para entregar malware dirigido a usuarios empresariales y de consumo”, dijo la compañía. “Es razonable que dichos inyecciones web entreguen malware personalizado al destinatario, incluidos los usuarios de Mac, que aún son menos comunes en entornos empresariales que en Windows”.
El desarrollo se produce como Tonmoy Jitu de Denwp Research revelado Detalles de otra puerta trasera de MacOS totalmente indetectable llamada Tiny FUD que aprovecha la manipulación de nombre, la inyección dinámica de Daemon (Dyld) y la ejecución de comandos basada en el comando y control (C2).
También sigue el surgimiento de un nuevo malware del robador de información como Robador astral y Carne de carneque están diseñados para recopilar información confidencial, evadir la detección y mantener la persistencia en los sistemas comprometidos.
“El robador de carne es particularmente efectivo para detectar entornos de máquina virtual (VM)”, Flashpoint dicho en un informe reciente. “Evitará ejecutar en las máquinas virtuales para evitar cualquier posible análisis forense, mostrando una comprensión de las prácticas de investigación de seguridad”.
About the Author
