网络犯罪分子正在加大对假软件更新的使用来分发恶意软件,并且用户带着新的压力在十字准线中。
研究人员已经确定了两个新的威胁参与者TA2726和TA2727,他们正在使用Web注入活动来提供恶意软件。这些参与者使用假更新诱饵(通常以浏览器更新的形式显示)来诱使用户下载有害软件,包括新发现的恶意软件称为FrigidStealer。
从历史上看,威胁性演员TA569及其Socgholish网络注入伪造的更新空间,通常会导致勒索软件攻击。但是,从2023年开始,模仿者的演员开始出现,使追踪这些威胁的努力变得复杂。
使用类似策略的新玩家的涌入使分析师很难区分威胁行为者及其竞选活动,根据 证明点,发现背后的团队。
FrigidStealer是一种专门针对MacOS的新信息窃取恶意软件。恶意软件是通过妥协的网站交付的,该网站向访问者提供了伪造的浏览器更新提示。
如果Mac用户单击“更新”按钮,他们在不知不觉中下载了恶意DMG文件。
Osascript包括可以从被折衷的用户系统中偷来的扩展名和cookie。图片来源:证明点
安装后,FrigidStealer会使用AppleScript和Osascript收集敏感数据,包括浏览器cookie,与加密货币相关的文件,甚至是Apple Notes。虽然Apple Notes中的锁定音符是端到端加密的,但任何解锁的笔记或存储为桌面或文档文件夹中的普通文件的注释可能很脆弱。
然后将被盗的数据发送到askforupdate [。] org的命令和控制服务器。当用户访问受损害的网站时,攻击链开始。
TA2726的TDS将它们重定向到由TA2727控制的恶意域。根据用户的设备和浏览器,他们会收到量身定制的假更新提示。对于Mac用户,恶意软件是合法的Google Chrome或更新。
单击“更新”按钮时,将下载恶意DMG文件,并提示用户绕过MacOS Gatekeeper Security。然后,FrigidStealer运行使用Wailsio构建的Mach-O可执行文件,使Fake Installer显得真实。
恶意软件提取敏感的数据并将其剥离到其命令和控制服务器中,从而完成了攻击。
如何预防冰冻策划者
为了防止虚假更新骗局,请始终警惕意外的软件更新提示,尤其是在浏览网络时出现的情况下。接下来,不要单击弹出窗口,而是直接访问官方网站或打开应用程序的内置更新功能,以确保您获得合法的软件。
最后,使您的安全软件保持最新将有助于检测并阻止潜在威胁。
