„FrigidStealer Stealer“ įsiveržia į „MacOS“ naudotojų sistemas
Table of Contents
Naujas susirūpinimas „macOS“ naudotojams
„FrigidStealer“ yra informacijos vagystės programinė įranga, dalis platesnės kampanijos, kurią organizuoja grupė, stebima kaip TA2727. Skirtingai nuo tradicinių grėsmių, kurios beatodairiškai nukreiptos į vartotojus, ši kampanija pritaiko savo požiūrį pagal vartotojo geografinę vietą ir įrenginio tipą, todėl tai yra unikali ir pritaikoma rizika.
„FrigidStealer“ tikslas
„FrigidStealer“ sukurtas siekiant išskirtinio tikslo: išskirti neskelbtiną informaciją iš pažeistų „MacOS“ įrenginių . Jame daugiausia dėmesio skiriama kredencialų, naršyklės duomenų, kriptovaliutos piniginės informacijos ir kitų konfidencialių failų rinkimui. Panašiai kaip ir kiti informacijos vagystės, ji naudoja apgaulingą taktiką, kad įsiskverbtų į sistemas, apgaudinėdama vartotojus atsisiųsti užmaskuotą programą, kuri atrodo teisėta.
Ši kampanija, kuri išplėtė savo „macOS“ naudotojus už Šiaurės Amerikos ribų, diegia „FrigidStealer“ per netikrą naršyklės atnaujinimo puslapį. Kai jis įvykdomas, jis reikalauja didesnių privilegijų naudojant „AppleScript“, ragindamas vartotojus įvesti savo sistemos slaptažodį. Taip elgdamasi ji įgyja reikiamus leidimus pasiekti saugomus duomenis ir gauti vertingos informacijos, o tai kelia didelių susirūpinimą dėl privatumo nukentėjusiems asmenims.
TA2727 ir susijusių grėsmės aktorių vaidmuo
„FrigidStealer“ atsiradimas yra susietas su TA2727 – grėsmių veikėjo, žinomo dėl netikrų naujinimo raginimų, skirtų kenksmingiems kroviniams platinti, veikla. Ši grupė neveikia atskirai; ji veikia kartu su kitais finansiškai motyvuotais subjektais, tokiais kaip TA2726 ir TA569 , kurie abu prisideda prie kenkėjiškų programų platinimo per pažeistas svetaines.
TA2727 išsiskiria naudodama atakų grandines, kurios skiriasi priklausomai nuo taikinio įrenginio ir vietos. Pavyzdžiui, „Windows“ vartotojai tam tikruose regionuose gali susidurti su skirtingais naudingaisiais kroviniais, pvz., „Lumma Stealer“ arba „Hjack Loader“. Priešingai, „Android“ naudotojai gali būti veikiami bankininkystės Trojos arklys, žinomas kaip Marcher. Galimybė pritaikyti atakas tokiu būdu padidina šių kampanijų efektyvumą ir padidina sėkmingo įsiskverbimo tikimybę.
Kaip veikia FrigidStealer
Kaip ir daugelis „MacOS“ grėsmių, „FrigidStealer“ remiasi socialinės inžinerijos metodais, kad įtikintų vartotojus paleisti diegimo programą. Pati kenkėjiška programa sukurta naudojant „Go“ programavimo kalbą ir „WailsIO“ sistemą, kuri leidžia rodyti turinį į naršyklę panašioje aplinkoje. Šis dizaino pasirinkimas padeda įtikinti vartotojus, kad jie sąveikauja su tikru programinės įrangos diegimo procesu.
Paleidęs „FrigidStealer“ apeina „macOS“ integruotą „Gatekeeper“ apsaugą, reikalaudamas aiškaus vartotojo veiksmų. Jei vartotojas nesąmoningai suteikia administratoriaus teises, kenkėjiška programa įgyja plačią prieigą prie saugomų kredencialų, išsaugotų naršyklės duomenų ir net pastabų, saugomų Apple vietinėse programose. Be to, kriptovaliutų piniginės yra pagrindinis tikslas, o tai rodo finansinę jos diegimo motyvaciją.
Platesnės atakos pasekmės
„FrigidStealer“ buvimas pabrėžia vis didėjantį kibernetinio saugumo kraštovaizdžio pokytį. „MacOS“ tampa vis patrauklesniu kenkėjiškų veikėjų taikiniu. Nors „macOS“ tradiciškai buvo suvokiama kaip saugesnė nei kitos platformos, jos vis labiau populiarėjant tiek asmeninėje, tiek profesinėje aplinkoje tapo vertingu kibernetinių nusikaltėlių taikiniu.
Šioje kampanijoje naudojami atakų metodai taip pat pabrėžia kibernetinių nusikaltėlių gebėjimą prisitaikyti. Pažeisdami teisėtas svetaines ir įvesdami kenkėjišką „JavaScript“, grėsmės veikėjai užtikrina, kad jų naudingos apkrovos pasiektų nieko neįtariančius vartotojus iš iš pažiūros patikimų šaltinių. Šis metodas ne tik padidina atakos efektyvumą, bet ir apsunkina apsaugos sistemas aptikti ir blokuoti pradinius infekcijos vektorius.
Besiplečiantis grėsmės peizažas
„FrigidStealer“ nėra vienintelė besiformuojanti informacijos vagimo programinė įranga, skirta „MacOS“. Kitos naujausios grėsmės, pvz., „Astral Stealer“ ir „Flesh Stealer“ , pasižymi panašiomis galimybėmis, daugiausia dėmesio skiriant duomenų vagystei ir išlikimo mechanizmams. Šie pokyčiai rodo, kad kibernetiniai nusikaltėliai aktyviai tobulina savo metodus, kaip apeiti saugumo priemones ir išvengti aptikimo.
Saugumo tyrinėtojai taip pat pastebėjo, kad daugėja visiškai neaptinkamų „MacOS“ užpakalinių durų, tokių kaip „Tiny FUD“ . Ši konkreti grėsmė naudoja pažangias technologijas, tokias kaip dinaminio ryšio demono (DYLD) įpurškimas ir komandų ir valdymo ryšys, kad išlaikytų prieigą prie pažeistų sistemų. Tokia pažanga rodo, kad „macOS“ naudotojai turėtų elgtis taip pat atsargiai, kaip ir naudojantys kitas platformas, ypač kai sąveikauja su programinės įrangos naujiniais ar nepažįstamais atsisiuntimais.
Žvilgsnis į priekį
Kadangi „macOS“ grėsmės ir toliau vystosi, labai svarbu, kad vartotojai išliktų budrūs ir žinotų apie kibernetinių nusikaltėlių apgaulingą taktiką. Grėsmės veikėjai nuolat prisitaiko, ieško naujų būdų, kaip paskirstyti savo naudingąsias apkrovas ir išnaudoti sistemos pažeidžiamumą. Būdami informuoti apie kylančias grėsmes, tokias kaip FrigidStealer, vartotojai gali geriau apsisaugoti nuo galimų įsibrovimų.
„FrigidStealer“ atradimas primena, kad jokia sistema nėra apsaugota nuo kibernetinių grėsmių. Nors „macOS“ gali pasiūlyti stiprių saugos funkcijų, vartotojų sąmoningumas ir atsargumas išlieka esminėmis apsaugos priemonėmis nuo apgaulingų kampanijų, kuriomis siekiama išnaudoti pasitikėjimą ir gauti neteisėtą prieigą prie vertingos informacijos.
