Siber güvenlik araştırmacıları, Web enjeksiyonlarından yararlanan yeni bir kampanyaya, yeni bir Apple macOS kötü amaçlı yazılımları sunmak için uyarıyor Frigidstealer.
Etkinlik, TA2727 olarak bilinen daha önce belgelenmemiş bir tehdit oyuncusu ile ilişkilendirildi, Windows (Lumma Stealer veya Deerstealer) ve Android (Yürüyüş yapan kimse).
TA2727, “çeşitli kötü amaçlı yazılım yüklerini dağıtmak için sahte güncelleme temalı yemleri kullanan bir tehdit aktörüdür”, Proofpoint Tehdit Araştırma Ekibi söz konusu Hacker News ile paylaşılan bir raporda.
Diğer tehdit aktörlerinin kötü amaçlı yazılım sunması için trafik dağıtımını kolaylaştıran kötü amaçlı bir trafik dağıtım sistemi (TDS) operatörü olarak değerlendirilen TA2726 ile birlikte yeni tanımlanan tehdit faaliyet kümelerinden biridir. Finansal olarak motive olmuş tehdit oyuncunun en azından Eylül 2022’den beri aktif olduğuna inanılıyor.
TA2726, Kurumsal Güvenlik Firması’na göre, TA2727 için bir TDS ve JavaScript tabanlı bir yükleyici kötü amaçlı yazılımının dağıtılmasından sorumlu olan TA569 adlı başka bir tehdit oyuncusu görevi görür. Socgholish (diğer adıyla FakeUpdates) Meşru ama işbirliği yapan sitelerde bir tarayıcı güncellemesi olarak maskelenen.
Şirket, “TA2726 finansal olarak motive ediliyor ve TA569 ve TA2727 gibi finansal olarak motive olmuş diğer aktörlerle çalışıyor.” Diyerek şöyle devam etti: “Yani, bu aktör büyük olasılıkla diğer tehdit aktörleri tarafından işletilen enjeksiyonlara yol açan web sunucusundan veya web sitesi uzlaşmalarından sorumludur.”
Hem TA569 hem de TA2727, kötü amaçlı JavaScript web sitesi ile tehlikeye atılan web siteleri aracılığıyla dağıtıldıkları için bazı benzerlikleri paylaşıyor. TA2727’nin farklı olduğu durumlarda, alıcıların coğrafyasına veya cihazına göre farklı yüklere hizmet eden saldırı zincirlerinin kullanılmasıdır.
Bir kullanıcı Windows bilgisayarında Fransa veya İngiltere’de enfekte bir web sitesini ziyaret ederse, Lumma Stealer’ı yükleyen Hijack Loader’ı (AKA Doiloader) başlatan bir MSI yükleyici dosyasını indirmeleri istenir.
Öte yandan, bir Android cihazdan ziyaret edildiğinde aynı sahte güncelleme yönlendirmesi Yürüyüş yapan kimse Bu oldu vahşi doğada tespit edildi on yıldan fazla bir süredir.
Hepsi bu değil. Ocak 2025 itibariyle kampanya, Kuzey Amerika dışında ikamet eden MacOS kullanıcılarını, FrigidStealer kodlu yeni bir bilgi stealer’ı indiren sahte bir güncelleme sayfasına yönlendirerek güncellendi.
FrigidStealer yükleyicisi, diğer macOS kötü amaçlı yazılımlar gibi, kullanıcıların bekleme koruyucusu korumalarını atlamak için imzasız uygulamayı açıkça başlatmasını gerektirir ve ardından, kötü amaçlı yazılımları yüklemek için gömülü bir Mach-O yürütülebilir dosyası çalıştırılır.
“Yürütülebilir ürün Go’da yazılmış ve geçici imzalanmıştır,” dedi Proofpoint. “Yürütilebilir, kullanıcının tarayıcısında içerik oluşturan Wailsio Projesi ile inşa edildi. Bu, kurbanın sosyal mühendisliğine katkıda bulunuyor ve Chrome veya Safari kurulumcusunun meşru olduğunu ima ediyor.”
Frigidstealer, MacOS sistemlerine yönelik çeşitli stealer ailelerinden farklı değildir. Kullanıcının sistem şifrelerini girmesini istemek için AppleScript’ten yararlanır, böylece web tarayıcılarından, Apple notlarından ve kripto para birimi ile ilgili uygulamalardan dosyaları ve her türlü hassas bilgileri hasat etmek için yüksek ayrıcalıklar sağlar.
Şirket, “Aktörler, hem işletme hem de tüketici kullanıcılarını hedefleyen kötü amaçlı yazılım sunmak için web uzatmaları kullanıyor.” Dedi. “Bu tür Web enjeksiyonlarının, kurumsal ortamlarda hala Windows’tan daha az yaygın olan MAC kullanıcıları da dahil olmak üzere alıcıya özelleştirilmiş kötü amaçlı yazılımlar sunması makul.”
Geliştirme, Denwp Research’ten Tonmoy Jitu açıklanmış Adı manipülasyon, dinamik bağlantı arka plan programı (dyld) enjeksiyon ve komut ve kontrol (C2) tabanlı komut yürütme kullanan Tiny Fud adlı başka bir tamamen tespit edilemeyen macOS arka kapısının detayları.
Ayrıca yeni bilgi çalma kötü amaçlı yazılımlarının ortaya çıkmasını da takip eder. Astral Ve Et sığınağıHer ikisi de hassas bilgileri toplamak, tespitten kaçınmak ve tehlikeye atılan sistemlerde kalıcılığı korumak için tasarlanmıştır.
“Et Stealer, sanal makine (VM) ortamlarını tespit etmede özellikle etkilidir,” Flashpoint söz konusu Son bir raporda. Diyerek şöyle devam etti: “Güvenlik araştırma uygulamalarının anlayışını sergileyerek, herhangi bir potansiyel adli tıp analizini önlemek için VM’lerin uygulanmasını önleyecektir.”
