サイバー犯罪者は、マルウェアを配布するために偽のソフトウェアアップデートの使用を増やしています。マックユーザーは、新しい緊張で十字線にいます。
研究者は、マルウェアを配信するためにWeb Injectキャンペーンを使用している2人の新しい脅威アクター、TA2726とTA2727を特定しました。これらのアクターは、ブラウザの更新として提示されることが多い偽のアップデートルアーを使用して、ユーザーをだまして新しく発見されたソフトウェアをダウンロードしてダウンロードしますmacosFrigidStealerと呼ばれるマルウェア。
歴史的に、Threat Actor Ta569とそのSocgholish Web Injectsが偽の更新スペースを支配し、しばしばランサムウェア攻撃につながりました。しかし、2023年からコピーキャットの俳優が出現し始め、これらの脅威を追跡する努力を複雑にしました。
同様の戦術を使用している新しいプレーヤーの流入により、アナリストが脅威アクターとキャンペーンを区別することが困難になりました。によると プルーフポイント、発見の背後にあるチーム。
FrigidStealerは、特にMacOSを対象とした新しい情報を盗むマルウェアです。マルウェアは、侵害されたWebサイトを介して配信され、偽のブラウザの更新プロンプトを訪問者に提示します。
Macユーザーが「更新」ボタンをクリックすると、悪意のあるDMGファイルを知らないうちにダウンロードします。
OSAScriptには、侵害されたユーザーシステムから盗まれる可能性のある拡張機能とCookieが含まれています。画像クレジット:Proofpoint
FrigidStealerは、インストールされると、ApplescriptとOSAScriptを使用して、ブラウザーCookie、暗号通貨関連ファイル、Appleノートなど、機密データを収集します。 Appleノートのロックされたノートはエンドツーエンドの暗号化されていますが、ロック解除されたノートまたはデスクトップまたはドキュメントフォルダーにプレーンファイルとして保存されているノートは脆弱です。
盗まれたデータは、AskForUpDate [。] orgのコマンドアンドコントロールサーバーに送信されます。攻撃チェーンは、ユーザーが侵害されたWebサイトにアクセスすると開始されます。
TA2726のTDSは、TA2727によって制御される悪意のあるドメインにそれらをリダイレクトします。ユーザーのデバイスとブラウザに応じて、テーラードの偽の更新プロンプトを受け取ります。 Macユーザーの場合、マルウェアは正当なGoogle Chromeまたはサファリアップデート。
「更新」ボタンがクリックされると、悪意のあるDMGファイルがダウンロードされ、インストールプロセスにより、ユーザーにMacOS GateKeeperセキュリティをバイパスするように促されます。 FrigidStealerは、Wailsioで構築されたMach-O実行可能ファイルを実行し、偽のインストーラーを本物に見せます。
マルウェアは機密データを抽出し、コマンドアンドコントロールサーバーに除外し、攻撃を完了します。
FrigidStealerから保護する方法
偽の更新詐欺から安全に保つために、特にWebを閲覧しているときに表示される場合は、予期しないソフトウェアアップデートプロンプトに常に注意してください。次に、ポップアップをクリックする代わりに、公式Webサイトに直接移動するか、アプリの組み込みアップデート機能を開き、正当なソフトウェアを確実に取得します。
最後に、セキュリティソフトウェアを最新の状態に保つことは、潜在的な脅威を検出してブロックするのに役立ちます。
Isamu 
Isamu 
Isamu