FrigidStealer 窃取恶意软件入侵 macOS 用户系统

macOS 用户的新担忧

FrigidStealer 是一款信息窃取软件，是 TA2727 组织策划的一项更广泛攻击活动的一部分。与不加区分地针对用户的传统威胁不同，该攻击活动根据用户的地理位置和设备类型量身定制攻击方式，使其成为一种独特且适应性强的风险。

FrigidStealer 背后的意图

FrigidStealer 的设计目的只有一个：从受感染的macOS 设备中提取敏感信息。它主要专注于收集凭证、浏览器数据、加密货币钱包详细信息和其他机密文件。与其他信息窃取者类似，它利用欺骗性策略渗透系统，诱骗用户下载看似合法的伪装应用程序。

该活动已将范围扩大到北美以外的 macOS 用户，它通过虚假的浏览器更新页面部署 FrigidStealer。一旦执行，它会使用 AppleScript 请求提升权限，敦促用户输入系统密码。通过这样做，它会获得访问存储数据和提取有价值信息的必要权限，这对受影响的个人构成了重大的隐私问题。

TA2727 及相关威胁行为者的作用

FrigidStealer 的出现与 TA2727 的活动有关，TA2727 是一个以使用虚假更新提示来传播有害负载而闻名的威胁行为者。该组织并非单独行动；它与其他以经济为目的的实体（如 TA2726 和TA569）合作，这两个实体都通过受感染的网站传播恶意软件。

TA2727 的与众不同之处在于其攻击链会根据目标设备和位置而变化。例如，特定地区的 Windows 用户可能会遇到不同的有效载荷，如 Lumma Stealer 或 Hijack Loader。相比之下，Android 用户可能会受到名为 Marcher 的银行木马的攻击。以这种方式定制攻击的能力增强了这些活动的有效性，增加了成功渗透的可能性。

FrigidStealer 的运作方式

与许多 macOS 威胁一样，FrigidStealer 依靠社会工程技术来诱使用户执行其安装程序。恶意软件本身使用 Go 编程语言构建，并采用 WailsIO 框架，这使其能够在类似浏览器的环境中显示内容。这种设计选择有助于让用户相信他们正在与真正的软件安装过程进行交互。

一旦启动，FrigidStealer 就会要求用户采取明确行动，从而绕过 macOS 内置的 Gatekeeper 保护措施。如果用户在不知情的情况下授予其管理权限，该恶意软件就会获得对存储的凭据、保存的浏览器数据甚至存储在 Apple 原生应用程序中的笔记的广泛访问权限。此外，加密货币钱包是一个主要目标，这表明其部署背后有经济动机。

此次袭击的深远影响

FrigidStealer 的出现凸显了网络安全格局的转变。MacOS 正成为越来越受恶意行为者青睐的目标。虽然 macOS 传统上被认为比其他平台更安全，但它在个人和专业环境中的采用率不断上升，使其成为网络犯罪分子的宝贵目标。

此次活动中使用的攻击方法也凸显了网络犯罪分子的适应性。通过入侵合法网站并注入恶意 JavaScript，威胁行为者确保其有效载荷通过看似可靠的来源到达毫无戒心的用户。这种方法不仅提高了攻击的有效性，而且还使安全系统更难以检测和阻止初始感染媒介。

不断扩大的威胁形势

FrigidStealer 并不是唯一一款针对 macOS 的新兴信息窃取软件。其他近期威胁，如 Astral Stealer 和Flesh Stealer ，也表现出类似的能力，专注于数据窃取和持久性机制。这些发展表明，网络犯罪分子正在积极改进其绕过安全措施和逃避检测的方法。

安全研究人员还注意到，完全无法检测到的 macOS 后门（例如Tiny FUD）的数量有所增加。这种特殊威胁使用动态链接守护程序 (DYLD) 注入和命令与控制通信等高级技术来维持对受感染系统的访问。这些进步表明，macOS 用户应与使用其他平台的用户一样谨慎，尤其是在与软件更新或不熟悉的下载进行交互时。

展望未来

随着 macOS 威胁不断演变，用户必须保持警惕，警惕网络犯罪分子的欺骗手段。威胁行为者不断适应，寻找新方法来分发其有效载荷并利用系统漏洞。通过随时了解 FrigidStealer 等新兴威胁，用户可以更好地保护自己免受潜在入侵。

FrigidStealer 的发现提醒我们，没有哪个系统能够免受网络威胁。虽然 macOS 可能提供了强大的安全功能，但用户意识和谨慎仍然是防范欺骗性活动的重要措施，这些活动试图利用信任并未经授权访问有价值的信息。