FrigidStealer 竊取惡意軟體入侵 macOS 使用者係統

macOS 用戶的新擔憂

FrigidStealer 是一款資訊竊取軟體，是 TA2727 組織策劃的更廣泛活動的一部分。與不加區分地針對使用者的傳統威脅不同，此活動根據使用者的地理位置和設備類型調整其方法，使其成為獨特且適應性強的風險。

FrigidStealer 背後的意圖

FrigidStealer 的設計目的很簡單：從受感染的macOS 設備中提取敏感資訊。它主要致力於收集憑證、瀏覽器資料、加密貨幣錢包詳細資料和其他機密文件。與其他資訊竊取者類似，它利用欺騙手段滲透系統，誘騙用戶下載看似合法的偽裝應用程式。

這項攻擊活動已將範圍擴大到北美以外的 macOS 用戶，並透過虛假的瀏覽器更新頁面部署了 FrigidStealer。一旦執行，它會使用 AppleScript 請求提升權限，並要求使用者輸入系統密碼。透過這樣做，它獲得了存取儲存資料和提取有價值資訊的必要權限，這對受影響的個人構成了嚴重的隱私問題。

TA2727 及相關威脅行為者的作用

FrigidStealer 的出現與 TA2727 的活動有關，TA2727 是一個以使用虛假更新提示傳播有害負載而聞名的威脅行為者。這個組織並不是孤立運作的；它與其他以經濟為目的的實體（如 TA2726 和TA569 ）合作，透過受感染的網站來傳播惡意軟體。

TA2727 的獨特之處在於其使用根據目標設備和位置而變化的攻擊鏈。例如，某些地區的 Windows 使用者可能會遇到不同的負載，例如 Lumma Stealer 或 Hijack Loader。相較之下，Android 用戶可能會受到名為 Marcher 的銀行木馬的攻擊。以這種方式自訂攻擊的能力增強了這些活動的有效性，增加了成功滲透的可能性。

FrigidStealer 的運作方式

與許多 macOS 威脅一樣，FrigidStealer 依靠社會工程技術來誘使用戶執行其安裝程式。該惡意軟體本身使用 Go 程式語言構建，並採用 WailsIO 框架，這使得它能夠在類似瀏覽器的環境中顯示內容。這種設計選擇有助於讓用戶相信他們正在與真正的軟體安裝過程互動。

一旦啟動，FrigidStealer 就會透過要求使用者明確操作來繞過 macOS 內建的 Gatekeeper 保護。如果使用者在不知情的情況下授予其管理權限，則該惡意軟體將獲得對儲存的憑證、保存的瀏覽器資料甚至儲存在 Apple 原生應用程式中的筆記的廣泛存取權限。此外，加密貨幣錢包是一個主要目標，表明其部署背後有經濟動機。

此次襲擊的深遠影響

FrigidStealer 的出現凸顯了網路安全格局的日益轉變。對於惡意行為者來說，MacOS 正成為越來越有吸引力的目標。儘管 macOS 傳統上被認為比其他平台更安全，但它在個人和專業環境中的採用率日益提高，使其成為網路犯罪分子的寶貴目標。

這次活動所使用的攻擊手段也凸顯了網路犯罪分子的適應性。透過入侵合法網站並注入惡意 JavaScript，威脅行為者確保他們的負載透過看似可靠的來源到達毫無戒心的用戶。這種方法不僅增加了攻擊的有效性，而且使安全系統更難以偵測和阻止初始感染媒介。

不斷擴大的威脅情勢

FrigidStealer 並不是唯一一款針對 macOS 的新興資訊竊取軟體。其他近期的威脅，例如 Astral Stealer 和Flesh Stealer ，則表現出類似的能力，專注於資料竊取和持久機制。這些發展表明，網路犯罪分子正在積極改進其方法來繞過安全措施並逃避檢測。

安全研究人員還注意到，完全無法偵測的 macOS 後門（如Tiny FUD）的數量增加。這種特殊的威脅使用動態連結守護程序 (DYLD) 注入和命令與控制通訊等先進技術來維持對受感染系統的存取。這些進步表明，macOS 用戶應該與使用其他平台的用戶保持同等程度的謹慎，特別是在與軟體更新或不熟悉的下載互動時。

展望未來

隨著 macOS 威脅不斷演變，使用者保持警惕並注意網路犯罪分子的欺騙手段至關重要。威脅行為者不斷適應，尋找新方法來分發其有效載荷並利用系統漏洞。透過了解 FrigidStealer 等新興威脅，使用者可以更好地保護自己免受潛在的入侵。

FrigidStealer 的發現提醒我們，沒有任何系統能夠免受網路威脅。雖然 macOS 可能提供了強大的安全功能，但使用者意識和謹慎仍然是抵禦試圖利用信任並未經授權存取有價值資訊的欺騙性活動的重要防禦措施。