Киберпреступники все активнее используют поддельные обновления программного обеспечения для распространения вредоносных программ, и пользователи Mac попали под прицел нового штамма.
Исследователи обнаружили двух новых субъектов угроз — TA2726 и TA2727, которые используют кампании веб-инъекций для распространения вредоносного ПО. Эти субъекты используют поддельные обновления, часто представляемые как обновления браузера, чтобы обманом заставить пользователей загрузить вредоносное ПО, включая недавно обнаруженную вредоносную программу для macOS под названием FrigidStealer.
Исторически сложилось так, что угрожающий агент TA569 и его веб-инъекции SocGholish доминировали в сфере поддельных обновлений, что часто приводило к атакам с выкупом. Однако начиная с 2023 года стали появляться подражатели, что усложнило усилия по отслеживанию этих угроз.
Приток новых игроков, использующих схожую тактику, затрудняет аналитикам различение субъектов угроз и их кампаний, утверждает компания Proofpoint, которая является автором открытия.
Вредоносная программа FrigidStealer
FrigidStealer — это новая вредоносная программа для кражи информации, предназначенная специально для macOS. Вредоносная программа доставляется через взломанные веб-сайты, на которых посетителям предлагаются поддельные предложения об обновлении браузера.
Если пользователь Mac нажимает на кнопку «Обновить», он неосознанно загружает вредоносный DMG-файл.
Image may be NSFW.
Clik here to view.
В состав osascript входят расширения и файлы cookie, которые могут быть похищены из системы взломанного пользователя. Image credit: Proofpoint
После установки FrigidStealer использует AppleScript и osascript для сбора конфиденциальных данных, включая куки браузера, файлы, связанные с криптовалютами, и даже Apple Notes. Хотя заблокированные заметки в Apple Notes шифруются из конца в конец, любые незаблокированные заметки или те, что хранятся как обычные файлы в папках «Рабочий стол» или «Документы», могут быть уязвимы.
Похищенные данные затем отправляются на командно-контрольный сервер по адресу askforupdate[.]org. Цепочка атак начинается, когда пользователь посещает взломанный веб-сайт.
TDS TA2726 перенаправляет его на вредоносный домен, контролируемый TA2727. В зависимости от устройства и браузера пользователя, он получает поддельные предложения об обновлении. Для пользователей Mac вредоносная программа отображается как легитимное обновление Google Chrome или Safari.
При нажатии на кнопку «Обновить» загружается вредоносный DMG-файл, а в процессе установки пользователю предлагается обойти защиту macOS Gatekeeper. Затем FrigidStealer запускает исполняемый файл Mach-O, созданный с помощью WailsIO, благодаря чему поддельная программа установки выглядит подлинной.
Вредоносная программа извлекает конфиденциальные данные и пересылает их на свой командно-контрольный сервер, завершая атаку.
Как защититься от FrigidStealer
Чтобы не попасться на удочку мошенников, всегда опасайтесь неожиданных предложений об обновлении программного обеспечения, особенно если они появляются во время просмотра веб-страниц. Вместо того чтобы нажимать на всплывающие окна, перейдите непосредственно на официальный сайт или откройте встроенную функцию обновления приложения, чтобы убедиться, что вы получаете легитимное программное обеспечение.
И наконец, обновляйте программное обеспечение для обеспечения безопасности — это поможет обнаружить и блокировать потенциальные угрозы.
Вредоносная программа для Mac ‘FrigidStealer’ распространяется через поддельные обновления браузера