Los investigadores de ciberseguridad est\u00e1n alertando a una nueva campa\u00f1a que aprovecha los inyecciones web para ofrecer un nuevo malware Apple MacOS conocido como Fr\u00edgida<\/strong>.<\/p>\n La actividad se ha atribuido a un actor de amenaza previamente indocumentado conocido como TA2727, con los robos de informaci\u00f3n para otras plataformas como Windows (Lumma Stealer o Deerstealer) y Android (Marchista<\/a>).<\/p>\n TA2727 es un “actor de amenazas que utiliza se\u00f1uelos tem\u00e1ticos de actualizaciones falsas para distribuir una variedad de cargas \u00fatiles de malware”, el equipo de investigaci\u00f3n de amenazas de PROASPPOINT dicho<\/a> En un informe compartido con The Hacker News. <\/p>\n Es uno de los grupos de actividades de amenazas recientemente identificados junto con TA2726, que se eval\u00faa como un operador del Sistema de Distribuci\u00f3n de Tr\u00e1fico Malicioso (TDS) que facilita la distribuci\u00f3n del tr\u00e1fico para que otros actores de amenazas entreguen malware. Se cree que el actor de amenaza de motivaci\u00f3n financiera es activo desde al menos septiembre de 2022.<\/p>\n TA2726, seg\u00fan la empresa de seguridad empresarial, act\u00faa como un TDS para TA2727 y otro actor de amenaza llamado TA569, que es responsable de la distribuci\u00f3n de un malware de cargador basado en JavaScript que se le conoce como Socgholish<\/a> (tambi\u00e9n conocido como FakeUpdates) que a menudo se disfrazan de una actualizaci\u00f3n de navegador en sitios leg\u00edtimos pero comprometidos.<\/p>\n “TA2726 tiene motivaci\u00f3n financiera y trabaja con otros actores de motivaci\u00f3n financiera como TA569 y TA2727”, se\u00f1al\u00f3 la compa\u00f1\u00eda. “Es decir, este actor es probablemente responsable del servidor web o los compromisos del sitio web que conducen a inyecciones operadas por otros actores de amenazas”.<\/p>\n Tanto TA569 como TA2727 comparten algunas similitudes en el sentido de que se distribuyen a trav\u00e9s de sitios web comprometidos con el sitio web de JavaScript malicioso inyectas que imitan actualizaciones del navegador para navegadores web como Google Chrome o Microsoft Edge. Donde TA2727 difiere es el uso de cadenas de ataque que sirven diferentes cargas \u00fatiles en funci\u00f3n de la geograf\u00eda o el dispositivo de los destinatarios.<\/p>\n Si un usuario visita un sitio web infectado en Francia o en el Reino Unido en una computadora de Windows, se les pide que descargue un archivo de instalador MSI que inicie Hijack Loader (tambi\u00e9n conocido como Doiloader), que, a su vez, carga el robador de lumma.<\/p>\n Por otro lado, la misma actualizaci\u00f3n falsa redirige cuando se lo visita desde un dispositivo Android conduce a la implementaci\u00f3n de un troyano bancario doblado Marchista<\/a> que ha sido detectado en la naturaleza<\/a> Por m\u00e1s de una d\u00e9cada.<\/p>\n Eso no es todo. A partir de enero de 2025, la campa\u00f1a se ha actualizado a los usuarios de MacOS de Target que residen fuera de Norteam\u00e9rica a una p\u00e1gina de actualizaci\u00f3n falsa que descarg\u00f3 un nuevo robador de informaci\u00f3n con nombre en c\u00f3digo FrigidStealer.<\/p>\n El instalador FrigidSealer, como otro malware MacOS, requiere que los usuarios inicien expl\u00edcitamente la aplicaci\u00f3n sin firmar para evitar las protecciones de Gatekeeper, despu\u00e9s de lo cual se ejecuta un ejecutable de Mach-O integrado para instalar el malware.<\/p>\n “El ejecutable fue escrito en GO y fue firmado ad-hoc”, dijo Proofpoint. “El ejecutable fue construido con el proyecto Wailsio, que hace que el contenido del navegador del usuario. Esto se suma a la ingenier\u00eda social de la v\u00edctima, lo que implica que el instalador de Chrome o Safari era leg\u00edtimo”.<\/p>\n Frigidstealer no es diferente de varias familias de Stealer dirigidas a los sistemas MacOS. Aprovecha a Applecript para pedirle al usuario que ingrese la contrase\u00f1a de su sistema, lo que le da privilegios elevados para cosechar archivos y todo tipo de informaci\u00f3n confidencial de navegadores web, notas de Apple y aplicaciones relacionadas con las criptomonedas.<\/p>\n “Los actores est\u00e1n utilizando compromisos web para entregar malware dirigido a usuarios empresariales y de consumo”, dijo la compa\u00f1\u00eda. “Es razonable que dichos inyecciones web entreguen malware personalizado al destinatario, incluidos los usuarios de Mac, que a\u00fan son menos comunes en entornos empresariales que en Windows”.<\/p>\n El desarrollo se produce como Tonmoy Jitu de Denwp Research revelado<\/a> Detalles de otra puerta trasera de MacOS totalmente indetectable llamada Tiny FUD que aprovecha la manipulaci\u00f3n de nombre, la inyecci\u00f3n din\u00e1mica de Daemon (Dyld) y la ejecuci\u00f3n de comandos basada en el comando y control (C2).<\/p>\n Tambi\u00e9n sigue el surgimiento de un nuevo malware del robador de informaci\u00f3n como Robador astral<\/a> y Carne de carne<\/a>que est\u00e1n dise\u00f1ados para recopilar informaci\u00f3n confidencial, evadir la detecci\u00f3n y mantener la persistencia en los sistemas comprometidos.<\/p>\n “El robador de carne es particularmente efectivo para detectar entornos de m\u00e1quina virtual (VM)”, Flashpoint dicho<\/a> en un informe reciente. “Evitar\u00e1 ejecutar en las m\u00e1quinas virtuales para evitar cualquier posible an\u00e1lisis forense, mostrando una comprensi\u00f3n de las pr\u00e1cticas de investigaci\u00f3n de seguridad”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/El-nuevo-malware-FrigidSealer-se-dirige-a-los-usuarios-de.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n