{"id":1544769,"date":"2025-02-18T11:57:56","date_gmt":"2025-02-18T13:57:56","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-nouveaux-logiciels-malveillants-frigidstealer-ciblent-les-utilisateurs-macos-via-de-fausses-mises-a-jour-du-navigateur\/"},"modified":"2025-02-18T11:58:01","modified_gmt":"2025-02-18T13:58:01","slug":"les-nouveaux-logiciels-malveillants-frigidstealer-ciblent-les-utilisateurs-macos-via-de-fausses-mises-a-jour-du-navigateur","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-nouveaux-logiciels-malveillants-frigidstealer-ciblent-les-utilisateurs-macos-via-de-fausses-mises-a-jour-du-navigateur\/","title":{"rendered":"Les nouveaux logiciels malveillants FrigidStealer ciblent les utilisateurs macOS via de fausses mises \u00e0 jour du navigateur"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">18 f\u00e9vrier 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Intelligence de menace \/ logiciels malveillants<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/Les-nouveaux-logiciels-malveillants-FrigidStealer-ciblent-les-utilisateurs-macOS-via.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Les chercheurs en cybers\u00e9curit\u00e9 s&#8217;attaquent \u00e0 une nouvelle campagne qui tire parti d&#8217;injects Web pour livrer un nouveau malware Apple MacOS appel\u00e9 <strong>Frigidsaleur<\/strong>.<\/p>\n<p>L&#8217;activit\u00e9 a \u00e9t\u00e9 attribu\u00e9e \u00e0 un acteur de menace sans documentation connu sous le nom de TA2727, avec les voleurs d&#8217;informations pour d&#8217;autres plates-formes telles que Windows (Lumma Stealer ou DeerStealer) et Android (<a rel=\"noopener nofollow\" href=\"https:\/\/www.trendmicro.com\/vinfo\/us\/security\/news\/mobile-safety\/marcher-android-banking-malware-targets-uk-customers\" target=\"_blank\">Marcheur<\/a>).<\/p>\n<p>TA2727 est un &#8220;acteur de menace qui utilise de faux leurres sur le th\u00e8me de mise \u00e0 jour pour distribuer une vari\u00e9t\u00e9 de charges utiles de logiciels malveillants&#8221;, l&#8217;\u00e9quipe de recherche sur les menaces de ProofPoint <a rel=\"noopener nofollow\" href=\"https:\/\/www.proofpoint.com\/us\/blog\/threat-insight\/update-fake-updates-two-new-actors-and-new-mac-malware\" target=\"_blank\">dit<\/a> Dans un rapport partag\u00e9 avec le Hacker News. <\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/encrypted-attacks-report-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/Meta-confirme-lattaque-de-logiciels-spyware-zero-clique.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>C&#8217;est l&#8217;un des groupes d&#8217;activit\u00e9s de menace nouvellement identifi\u00e9s aux c\u00f4t\u00e9s de TA2726, qui est \u00e9valu\u00e9 comme un op\u00e9rateur de syst\u00e8me de distribution de trafic malveillant (TDS) qui facilite la distribution du trafic pour que d&#8217;autres acteurs de menace pour livrer des logiciels malveillants. L&#8217;acteur de menace financi\u00e8rement motiv\u00e9 serait actif depuis au moins septembre 2022.<\/p>\n<p>TA2726, selon la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 d&#8217;entreprise, agit comme un TDS pour TA2727 et un autre acteur de menace appel\u00e9 TA569, qui est responsable de la distribution d&#8217;un logiciel malveillant de chargeur bas\u00e9 sur JavaScript appel\u00e9 <a rel=\"noopener nofollow\" href=\"https:\/\/intel471.com\/blog\/threat-hunting-case-study-socgholish\" target=\"_blank\">Socgholish<\/a> (aka FakeUpdates) qui se pr\u00e9cipita souvent comme une mise \u00e0 jour du navigateur sur les sites l\u00e9gitimes mais compromis.<\/p>\n<p>&#8220;TA2726 est motiv\u00e9 financi\u00e8rement et travaille avec d&#8217;autres acteurs motiv\u00e9s par la finance tels que TA569 et TA2727&#8221;, a not\u00e9 la soci\u00e9t\u00e9. &#8220;C&#8217;est-\u00e0-dire que cet acteur est probablement responsable des compromis sur le serveur Web ou le site Web qui conduisent \u00e0 des injects op\u00e9r\u00e9s par d&#8217;autres acteurs de menace.&#8221;<\/p>\n<p>TA569 et TA2727 partagent certaines similitudes en ce qu&#8217;ils sont distribu\u00e9s via des sites Web compromis avec des injects de site Web JavaScript malveillant qui imitent les mises \u00e0 jour du navigateur pour les navigateurs Web comme Google Chrome ou Microsoft Edge. L\u00e0 o\u00f9 TA2727 diff\u00e8re est l&#8217;utilisation de cha\u00eenes d&#8217;attaque qui desservent diff\u00e9rentes charges utiles en fonction de la g\u00e9ographie ou de l&#8217;appareil des destinataires.<\/p>\n<p>Si un utilisateur visite un site Web infect\u00e9 en France ou au Royaume-Uni sur un ordinateur Windows, il est invit\u00e9 \u00e0 t\u00e9l\u00e9charger un fichier d&#8217;installation MSI qui lance Hijack Loader (alias Doiloader), qui, \u00e0 son tour, charge le voleur Lumma.<\/p>\n<p>D&#8217;un autre c\u00f4t\u00e9, la m\u00eame fausse mise \u00e0 jour redirig\u00e9 lors de la visite d&#8217;un appareil Android m\u00e8ne au d\u00e9ploiement d&#8217;un cheval de Troie bancaire doubl\u00e9 <a rel=\"noopener nofollow\" href=\"https:\/\/www.proofpoint.com\/us\/threat-insight\/post\/credential-phishing-and-android-banking-trojan-combine-austrian-mobile-attacks\" target=\"_blank\">Marcheur<\/a> qui a \u00e9t\u00e9 <a rel=\"noopener nofollow\" href=\"https:\/\/www.zscaler.com\/blogs\/security-research\/android-marcher-continuously-evolving-mobile-malware\" target=\"_blank\">d\u00e9tect\u00e9 dans la nature<\/a> pendant plus d&#8217;une d\u00e9cennie.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1739887075_168_Les-nouveaux-logiciels-malveillants-FrigidStealer-ciblent-les-utilisateurs-macOS-via.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1739887075_168_Les-nouveaux-logiciels-malveillants-FrigidStealer-ciblent-les-utilisateurs-macOS-via.png\" alt=\"Fausses mises \u00e0 jour du navigateur\" border=\"0\" data-original-height=\"736\" data-original-width=\"1898\" title=\"Fausses mises \u00e0 jour du navigateur\"\/><\/a><\/div>\n<p>Ce n&#8217;est pas tout. En janvier 2025, la campagne a \u00e9t\u00e9 mise \u00e0 jour pour cibler les utilisateurs de MacOS r\u00e9sidant en dehors de l&#8217;Am\u00e9rique du Nord vers une fausse page de mise \u00e0 jour qui a t\u00e9l\u00e9charg\u00e9 un nouveau voleur d&#8217;informations, le nom de code FrigidStealer.<\/p>\n<p>Le programme d&#8217;installation de FrigidStealer, comme d&#8217;autres logiciels malveillants MacOS, oblige les utilisateurs \u00e0 lancer explicitement l&#8217;application non sign\u00e9e pour contourner les protections de gardiens, apr\u00e8s quoi un ex\u00e9cutable Mach-O int\u00e9gr\u00e9 est ex\u00e9cut\u00e9 pour installer le malware.<\/p>\n<p>&#8220;L&#8217;ex\u00e9cutable a \u00e9t\u00e9 \u00e9crit en Go et a \u00e9t\u00e9 sign\u00e9 ad hoc&#8221;, a d\u00e9clar\u00e9 Proofpoint. &#8220;L&#8217;ex\u00e9cutable a \u00e9t\u00e9 construit avec le projet Wailsio, qui rend le contenu dans le navigateur de l&#8217;utilisateur.<\/p>\n<p>FrigidStealer n&#8217;est pas diff\u00e9rent des diff\u00e9rentes familles de voleurs destin\u00e9es aux syst\u00e8mes MacOS. Il exploite Applescript pour inciter l&#8217;utilisateur \u00e0 saisir son mot de passe syst\u00e8me, ce qui lui donne des privil\u00e8ges \u00e9lev\u00e9s pour r\u00e9colter des fichiers et toutes sortes d&#8217;informations sensibles \u00e0 partir des navigateurs Web, des notes Apple et des applications li\u00e9es \u00e0 la crypto-monnaie.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/saas-security-v1-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1738390842_400_Meta-confirme-lattaque-de-logiciels-spyware-zero-clique.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Les acteurs utilisent des compromis Web pour fournir des logiciels malveillants ciblant \u00e0 la fois les utilisateurs d&#8217;entreprise et les consommateurs&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9. &#8220;Il est raisonnable que de telles injects Web fournissent des logiciels malveillants personnalis\u00e9s au destinataire, y compris les utilisateurs de Mac, qui sont encore moins courants dans les environnements d&#8217;entreprise que Windows.&#8221;<\/p>\n<p>Le d\u00e9veloppement intervient alors que Tonmoy Jitu de DenWP Research <a rel=\"noopener nofollow\" href=\"https:\/\/denwp.com\/fully-undetectable-fud-macos-backdoor\/\" target=\"_blank\">divulgu\u00e9<\/a> D\u00e9tails d&#8217;une autre porte d\u00e9rob\u00e9e macOS enti\u00e8rement ind\u00e9tectable nomm\u00e9e Tiny FUD qui exploite la manipulation du nom, l&#8217;injection de d\u00e9mon de liaison dynamique (DYLD) et l&#8217;ex\u00e9cution de commande bas\u00e9e sur la commande et le contr\u00f4le (C2).<\/p>\n<p>Il suit \u00e9galement l&#8217;\u00e9mergence de nouveaux logiciels malveillants de voleur d&#8217;informations comme <a rel=\"noopener nofollow\" href=\"https:\/\/www.cyfirma.com\/research\/astral-stealer-analysis\/\" target=\"_blank\">Voleur astral<\/a> et <a rel=\"noopener nofollow\" href=\"https:\/\/www.cyfirma.com\/research\/flesh-stealer-unmasking-the-blue-masked-thief\/\" target=\"_blank\">Voleur de chair<\/a>tous deux con\u00e7us pour collecter des informations sensibles, \u00e9chapper \u00e0 la d\u00e9tection et maintenir la persistance sur les syst\u00e8mes compromis.<\/p>\n<p>&#8220;Le voleur de chair est particuli\u00e8rement efficace pour d\u00e9tecter les environnements de machines virtuelles (VM),&#8221; Flashpoint <a rel=\"noopener nofollow\" href=\"https:\/\/flashpoint.io\/blog\/fleshstealer-infostealer-threat-2025\/\" target=\"_blank\">dit<\/a> Dans un rapport r\u00e9cent. &#8220;Cela \u00e9vitera de s&#8217;ex\u00e9cuter sur les machines virtuelles pour emp\u00eacher toute analyse potentielle m\u00e9dico-l\u00e9gale, pr\u00e9sentant une compr\u00e9hension des pratiques de recherche sur la s\u00e9curit\u00e9.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/02\/new-frigidstealer-malware-targets-macos.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80218 f\u00e9vrier 2025\ue804Ravie LakshmananIntelligence de menace \/ logiciels malveillants Les chercheurs en cybers\u00e9curit\u00e9 s&#8217;attaquent \u00e0 une nouvelle campagne qui tire parti d&#8217;injects Web pour livrer un nouveau malware Apple MacOS appel\u00e9 Frigidsaleur. L&#8217;activit\u00e9 a \u00e9t\u00e9 attribu\u00e9e \u00e0 un acteur de menace sans documentation connu sous le nom de TA2727, avec les voleurs d&#8217;informations pour d&#8217;autres [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1544770,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,5863,4168,79002,274264,4161,274263,6124,2650,281252,3995,65,4589,34503,4590,274267,5115,4160,1281,4588,238617,246491,4172,79016,7529,4166,4164],"class_list":["post-1544769","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-ciblent","tag-comment-pirater","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-fausses","tag-frigidstealer","tag-jour","tag-les","tag-logiciels","tag-macos","tag-malveillants","tag-malware-ransomware","tag-mises","tag-mises-a-jour-de-la-cybersecurite","tag-navigateur","tag-nouveaux","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-the-hacker-news","tag-utilisateurs","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1544769","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1544769"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1544769\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1544770"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1544769"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1544769"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1544769"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}