18 février 2025Ravie LakshmananIntelligence de menace / logiciels malveillants

Les chercheurs en cybersécurité s’attaquent à une nouvelle campagne qui tire parti d’injects Web pour livrer un nouveau malware Apple MacOS appelé Frigidsaleur.

L’activité a été attribuée à un acteur de menace sans documentation connu sous le nom de TA2727, avec les voleurs d’informations pour d’autres plates-formes telles que Windows (Lumma Stealer ou DeerStealer) et Android (Marcheur).

TA2727 est un “acteur de menace qui utilise de faux leurres sur le thème de mise à jour pour distribuer une variété de charges utiles de logiciels malveillants”, l’équipe de recherche sur les menaces de ProofPoint dit Dans un rapport partagé avec le Hacker News.

Cybersécurité

C’est l’un des groupes d’activités de menace nouvellement identifiés aux côtés de TA2726, qui est évalué comme un opérateur de système de distribution de trafic malveillant (TDS) qui facilite la distribution du trafic pour que d’autres acteurs de menace pour livrer des logiciels malveillants. L’acteur de menace financièrement motivé serait actif depuis au moins septembre 2022.

TA2726, selon la société de sécurité d’entreprise, agit comme un TDS pour TA2727 et un autre acteur de menace appelé TA569, qui est responsable de la distribution d’un logiciel malveillant de chargeur basé sur JavaScript appelé Socgholish (aka FakeUpdates) qui se précipita souvent comme une mise à jour du navigateur sur les sites légitimes mais compromis.

“TA2726 est motivé financièrement et travaille avec d’autres acteurs motivés par la finance tels que TA569 et TA2727”, a noté la société. “C’est-à-dire que cet acteur est probablement responsable des compromis sur le serveur Web ou le site Web qui conduisent à des injects opérés par d’autres acteurs de menace.”

TA569 et TA2727 partagent certaines similitudes en ce qu’ils sont distribués via des sites Web compromis avec des injects de site Web JavaScript malveillant qui imitent les mises à jour du navigateur pour les navigateurs Web comme Google Chrome ou Microsoft Edge. Là où TA2727 diffère est l’utilisation de chaînes d’attaque qui desservent différentes charges utiles en fonction de la géographie ou de l’appareil des destinataires.

Si un utilisateur visite un site Web infecté en France ou au Royaume-Uni sur un ordinateur Windows, il est invité à télécharger un fichier d’installation MSI qui lance Hijack Loader (alias Doiloader), qui, à son tour, charge le voleur Lumma.

D’un autre côté, la même fausse mise à jour redirigé lors de la visite d’un appareil Android mène au déploiement d’un cheval de Troie bancaire doublé Marcheur qui a été détecté dans la nature pendant plus d’une décennie.

Fausses mises à jour du navigateur

Ce n’est pas tout. En janvier 2025, la campagne a été mise à jour pour cibler les utilisateurs de MacOS résidant en dehors de l’Amérique du Nord vers une fausse page de mise à jour qui a téléchargé un nouveau voleur d’informations, le nom de code FrigidStealer.

Le programme d’installation de FrigidStealer, comme d’autres logiciels malveillants MacOS, oblige les utilisateurs à lancer explicitement l’application non signée pour contourner les protections de gardiens, après quoi un exécutable Mach-O intégré est exécuté pour installer le malware.

“L’exécutable a été écrit en Go et a été signé ad hoc”, a déclaré Proofpoint. “L’exécutable a été construit avec le projet Wailsio, qui rend le contenu dans le navigateur de l’utilisateur.

FrigidStealer n’est pas différent des différentes familles de voleurs destinées aux systèmes MacOS. Il exploite Applescript pour inciter l’utilisateur à saisir son mot de passe système, ce qui lui donne des privilèges élevés pour récolter des fichiers et toutes sortes d’informations sensibles à partir des navigateurs Web, des notes Apple et des applications liées à la crypto-monnaie.

Cybersécurité

“Les acteurs utilisent des compromis Web pour fournir des logiciels malveillants ciblant à la fois les utilisateurs d’entreprise et les consommateurs”, a déclaré la société. “Il est raisonnable que de telles injects Web fournissent des logiciels malveillants personnalisés au destinataire, y compris les utilisateurs de Mac, qui sont encore moins courants dans les environnements d’entreprise que Windows.”

Le développement intervient alors que Tonmoy Jitu de DenWP Research divulgué Détails d’une autre porte dérobée macOS entièrement indétectable nommée Tiny FUD qui exploite la manipulation du nom, l’injection de démon de liaison dynamique (DYLD) et l’exécution de commande basée sur la commande et le contrôle (C2).

Il suit également l’émergence de nouveaux logiciels malveillants de voleur d’informations comme Voleur astral et Voleur de chairtous deux conçus pour collecter des informations sensibles, échapper à la détection et maintenir la persistance sur les systèmes compromis.

“Le voleur de chair est particulièrement efficace pour détecter les environnements de machines virtuelles (VM),” Flashpoint dit Dans un rapport récent. “Cela évitera de s’exécuter sur les machines virtuelles pour empêcher toute analyse potentielle médico-légale, présentant une compréhension des pratiques de recherche sur la sécurité.”

Vous avez trouvé cet article intéressant? Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57