Les acteurs de la menace sont vus distribuer le nouveau voleur de macOS dans une campagne Web Inject, ainsi que les voleurs pour d’autres systèmes d’exploitation.
Les pirates sont vus abandonner un nouvel infosteller de macOS, FrigidStealer, sur des systèmes sans méfiance dans une campagne Web Inject qui utilise de fausses mises à jour du navigateur pour attirer les victimes.
Des chercheurs de Proofpoint ont rapporté l’observation de deux nouveaux acteurs de menace, TA2726 et TA2727, exécutant cette campagne pour voler les données sensibles du navigateur.
« Proofpoint a identifié et nommé deux nouveaux acteurs de menace cybercriminale opérant des composants de campagnes Web Inject, y compris celle qui livre un nouveau malware macOS, Frigidstealer », ont déclaré les chercheurs dans un article de blog. «Le paysage de la campagne Inject Inject augmente, avec une variété d’acteurs de menaces de copieur menant des campagnes similaires, ce qui peut rendre difficile pour les analystes de suivre.»
Une campagne Web Inject est un type de cyberattaque où le code malveillant est injecté dans un site Web ou une application Web légitime pour manipuler son contenu, voler des informations sensibles ou informer les utilisateurs pour effectuer des actions non autorisées.
Historiquement, ces types d’attaques ont été presque exclusivement attribués à TA569 – un acteur de menace principalement identifié avec des logiciels malveillants socgholis. Mais d’autres «copies» ont récemment acheté le TTPS pour livrer une multitude d’autres logiciels malveillants.
Les logiciels malveillants se présentent comme des mises à jour du navigateur
Les chercheurs ont observé des acteurs de menace utilisant de fausses mises à jour de navigateur pour inciter les victimes à télécharger des logiciels malveillants. Les utilisateurs de Mac ont téléchargé un fichier DMG masqué en tant que mise à jour du navigateur, en les faisant pour remplacer manuellement le porte-gardien d’Apple et installer FrigidStealer.
«Lors de l’exécution, FrigidStealer utilise des fichiers de script Apple et Osascript pour inciter l’utilisateur à saisir son mot de passe, puis à recueillir des données, notamment des cookies de navigateur, des fichiers avec des extensions pertinentes pour le matériel de mot de passe ou la crypto-monnaie à partir des dossiers de bureau et de documents de la victime, et toute note Apple Notes L’utilisateur a créé », a ajouté des chercheurs de Proofpoint.
La campagne accueille également les attaques Windows et Android avec des charges utiles ciblées. TA2726, qui agit comme un système de distribution de trafic (TDS) dans la chaîne d’attaque, redirige les utilisateurs vers des logiciels malveillants en fonction de l’emplacement et du type de périphérique. Le groupe permet aux distributeurs de logiciels malveillants comme TA569 et TA727 de livrer des logiciels malveillants en compromettant des sites Web et en insérant un JavaScript Rogue dans des pages Web servant de fausses mises à jour.
Par exemple, dans les attaques vues par Proofpoint, TDS a redirigé les visiteurs nord-américains vers des logiciels malveillants Socgholish, tandis que d’autres régions ont reçu des charges utiles TA2727 comme Lumma Stealer (Windows), DeerStealeer (Windows), Frigidsaler (Mac) et Marcher (Android).
La détection peut être délicate
Le malware ciblant les utilisateurs de Mac utilise le framework WailSio, un cadre basé sur GO pour créer des applications de bureau léger avec HTML, CSS et JavaScript, pour paraître légitime.
Ces attaques «peuvent être difficiles à détecter et à prévenir et peuvent présenter des difficultés à communiquer la menace pour les utilisateurs finaux en raison des techniques d’ingénierie sociale et des compromis sur le site Web utilisés par l’acteur de menace», ont averti des chercheurs dans le blog.
Le déploiement de la détection du réseau et de la protection des points de terminaison, de la conduite de programmes de formation des utilisateurs et de la mise en œuvre de la restriction et de l’isolement du navigateur pourrait être les meilleurs moyens de protéger de ces attaques, a ajouté le blog. Il comprenait également une liste d’indicateurs de compromis (CIO) pour que les équipes de sécurité ajoutent à leurs scanners de menace.
FrigidStealer recueille les données du navigateur, les informations d’identification et les mots de passe de Safari et Chrome, ainsi que des documents système comme les notes Apple et des données de portefeuille cryptographique, et les emballe dans des dossiers du répertoire domestique pour être exfiltré à un C2 contrôlé par acteur sur « AskForUpdate (. ) org. «
ProofPoint a ajouté que les voleurs d’informations MacOS augmentent, indiquant une focalisation contradictoire croissante sur les utilisateurs de Mac d’entreprise. Récemment, des chercheurs de Sentinelone ont découvert une nouvelle variante de la famille de malwares de Ferret MacOS, des délais et des voleurs liés à la Corée du Nord livrés par le biais de la fameuse campagne «Interviews contagieuses».
