Novi FrigidStealer cilja Mac uređaje

AUTOR ·

FrigidStealer, najnovija varijanta kradljivca podataka koja izaziva zabrinutost u digitalnom prostoru, ilustruje kvalitete inovacija i obmane. Iskorištavanjem ranjivosti u Apple sistemima i korištenjem taktika društvenog inženjeringa, postaje opasnost o kojoj ozbiljno treba voditi računa upozoravaju sigurnosni istraživači kompanije Proofpoint.

FrigidStealer

Novi FrigidStealer cilja Mac uređaje; Source: Bing Image Creator

FRIGIDSTEALER

FrigidStealer je zlonamjerni softver posebno dizajnirana da cilja Mac računare, zasnovan na Go programskom jeziku i izgrađen na WailsIO okviru kako bi instaler izgledao legitimno, tako da ne postoji sumnja tokom infekcije. Prvi put je primijećen od strane sigurnosnih istraživača krajem januara 2025. godine, kao dio šire kampanje koja je takođe distribuirala zlonamjerni softver za Windows i Android. Sigurnosni istraživači su identifikovali zlonamjerne aktere (TA2726 i TA2727) koji su uključeni u operacije sa ovim zlonamjernim softverom.

FrigidStealer zlonamjerni softver je korišćen u kampanjama društvenog inženjeringa, gdje obmanjuje žrtve da instaliraju ažuriranje za svoj internet pregledač ili druge aplikacije. Jednom instaliran, FrigidStealer prikuplja osjetljive informacije sa uređaja žrtve, uključujući istoriju pregledanja i lične podatke uskladištene na uređaju. Njegov primarni cilj je da eksfiltrira ove ukradene podatke nazad na servere svojih operatera.

 

Funkcionisanje

Zlonamjerni akteri koriste sofisticiranu taktiku u svojoj kampanji za krađu informacija koja cilja korisnike van Sjeverne Amerike. Kampanja podrazumijeva korištenje lažnih dugmadi “Update” na bezbjednim internet lokacijama, čime oni stvaraju iluziju da korisnici moraju da instaliraju rutinska ažuriranja preko Safari ili Chrome pregledača. Ova prevara je dizajnirana da zaobiđe macOS bezbjednosne mjere i olakša instalaciju zlonamjernog softvera.

Kada neoprezni korisnik klikne na dugme “Update”, DMG datoteka se automatski preuzima na korisnički uređaj. Zlonamjerni softver zatim otkriva i identifikuje internet pretraživač žrtve i u skladu sa tim prikazuje prilagođena uputstva koja oponašaju službene upite i ikone. Ovaj pametno osmišljen proces ima za cilj da učini da preuzimanje izgleda legitimno, dajući na taj način korisniku u lažni osjećaj sigurnosti.

Sljedeća faza ove zlonamjerne operacije uključuje vođenje korisnika kroz niz koraka koji namjerno zaobilaze zaštitne mjere macOS Gatekeeper sigurnosnog mehanizma. Obično bi Gatekeeper sigurnosni mehanizam upozorio korisnike na instaliranje nepouzdanih aplikacija i spriječio ih da izvrše potencijalno opasan kôd. Međutim, praćenjem ovih pažljivo izrađenih uputstava, žrtve se navode da vjeruju da obavljaju rutinsko održavanje svog internet pregledača.

Kada korisnik završi ovaj proces, instalira se Mach-O izvršna datoteka koji isporučuje FrigidStealer zlonamjerni softver za krađu informacija. Ovaj zlonamjerni teret (eng. payload) dobija pristup osjetljivim podacima koji se čuvaju lokalno na uređaju žrtve, uključujući:

  • Kolačići pretraživača;
  • Datoteke sa ekstenzijama relevantnim za materijal za lozinku ili kriptovalutu iz direktorijuma Desktop i Documents;
  • Bilo koje Apple bilješke koje je kreirao korisnik.

Ako korisnici unesu svoje lozinke tokom ovog procesa, zlonamjerni akteri dobijaju neometan pristup ovim osjetljivim oblastima, što može imati ozbiljne posljedice po internet bezbjednost i finansijsko blagostanje korisnika pogođenih ovim napadom.

 

Windows i Android

Promatranje kampanje u kojoj se distribuira FrigidStealer zlonamjerni softver pokazalo je da kampanja ne cilja samo na Mac korisnike, već i na one sa Windows i Android uređajima. Ovaj višeplatformski pristup je svjedočanstvo evoluirajuće prirode sajber prijetnji, gdje zlonamjerni akteri sve više koriste sofisticirane taktike da bi kompromitovali različite operativne sisteme.

Istraživanje sigurnosnih istraživača pokazuje da TA2726 i TA2727, dvije saradničke grupe zlonamjernih aktera kroz kampanju distribucije lažnih ažuriranja isporučuju FrigidStealer zlonamjerni softver. Iako je primarni fokus na korisnicima macOS operativnog sistema, bitno je napomenuti da se Windows i Android korisni tereti takođe distribuiraju kao dio ove šire šeme.

Zlonamjerni akteri su uspostavili mreže za distribuciju saobraćaja koje im omogućavaju filtriraju žrtve na osnovu regiona i tipa uređaja, opslužujući različite sadržaje zlonamjernog softvera u skladu sa tim. Ovaj ciljani pristup omogućava zlonamjernim akterima da efikasnije prilagode svoje napade, povećavajući šanse za uspješno kompromitovanje na svakoj platformi.

 

Server za komandu i kontrolu (C2)

Ključni aspekt funkcionalnosti FrigidStealer zlonamjernog softvera leži u njegovoj sposobnosti da eksfiltrira ukradene podatke iz zaraženih sistema nazad na server za komandu i kontrolu (C2) koji se nalazi na “askforupdate[.]org”.

Proces počinje kada se FrigidStealer zlonamjerni softver uspješno infiltrira u macOS uređaj. Primarni cilj zlonamjernog softvera je prikupljanje osjetljivih informacija iz različitih izvora na kompromitovanom sistemu. Ovo uključuje kolačiće internet pregledača, sačuvane akreditive za prijavu, datoteke u vezi sa lozinkom uskladištene u Safari ili Chrome pregledačima, akreditive kripto novčanika koje se nalaze u određenim direktorijumima (Desktop i Documents), Apple Notes koje sadrže lozinke, finansijske podatke ili druge povjerljive detalje, kao i dokumente, tabele i tekstualne datoteke preuzete iz osnovnog (eng. home) direktorijuma korisnika.

Nakon što prikupi ove osjetljive informacije, FrigidStealer zlonamjerni softver nastavlja da ih grupiše u skriveni direktorijum u osnovnom korisničkom direktorijumu. Ova kompilacija ukradenih podataka se zatim kompresuje radi efikasnog prenosa nazad na C2 server na “askforupdate[.]org”. Zlonamjerni softver to postiže korištenjem uspostavljenih protokola i alata dizajniranih da olakšaju komunikaciju između kompromitovanih sistema i komandnih centara.

Upotreba “askforupdate[.]org” kao C2 adrese označava da je FrigidStealer zlonamjerni softver dio veće, sofisticiranije operacije. Ova infrastruktura je primijećena u različitim kampanjama koje ciljaju na različite platforme (Windows i Android), što ukazuje na uskomešanost više grupa zlonamjernih aktera koje sarađuju radi postizanja širih ciljeva. Činjenica da ova varijanta zlonamjernog softvera djeli resurse sa drugim zlonamjernim akterima naglašava njen potencijal za širok uticaj.

 

Zlonamjerni akteri

Kada se radi o kampanji distribucije FrigidStealer zlonamjernog softvera, dva zlonamjerna aktera su privukla pažnju sigurnosnih istraživača: TA2726 i TA2727. Zajednička distribucija ovog zlonamjernog softvera posebno dizajniranog za Mac uređaje zajedno sa zlonamjernim softverom koji cilja Windows i Android uređaje, pokazuje spremnost ovih aktera da se razvijaju i ostanu ispred bezbjednosnih mjera.

 

Zlonamjerni akter TA2726

TA2726 je relativno nov entitet u okruženju sajber prijetnji. Prema dostupnim informacijama, primijećeno je da se ova grupa zlonamjernih aktera bavi prodajom saobraćaja i aktivnostima distribucije zlonamjernog softvera. Njen primarni fokus leži u kompromitovanju internet lokacija za isporuku zlonamjernog sadržaja korisnicima koji ništa ne sumnjaju. Ovaj pristup im omogućava da dosegnu širu publiku bez oslanjanja na kampanje zasnovane na elektronskoj pošti.

Jedan od značajnih aspekata načina funkcionisanja TA2726 grupe zlonamjernih aktera je njihova upotreba lažnih mamaca sa temom ažuriranja za kompromitovanje internet lokacija. Ove taktike su osmišljene da prevare korisnike da posjete ugrožene internet lokacije. Kada žrtve posjete ove lokacije, dolazi je do preusmjeravanja saobraćaja preko mreža za distribuciju saobraćaja (eng. threat distribution service – TDN) koje koriste zlonamjerni akteri za preusmjeravanje internet saobraćaja ka zlonamjernim internet lokacijama ili dokumentima koje kontroliše ovaj entitet ili drugi saradnici.

Ovaj pristup im omogućava da šire zlonamjerni softver na više platformi, uključujući macOS, Windows i Android uređaje. Aktivnosti TA2726 grupe zlonamjernih aktera su primijećene u različitim lancima napada na internetu, što je izazov za sigurnosne istraživače da jasno prate i kategorišu njene operacije.

 

Zlonamjerni akter TA2727

TA2727 je još jedna grupa zlonamjernih aktera koju su sigurnosni istraživači označili kao učesnika u kampanji distribucije FrigidStealer zlonamjernog softvera. Ovaj entitet posluje iz finansijskih motiva i pokazao je saradnju sa drugim akterima koji djele slične ciljeve orijentisane na profit. Jedan značajan aspekt aktivnosti TA2727 grupe zlonamjernih aktera je njihovo učešće u kupovini saobraćaja na internet forumima radi širenja zlonamjernog softvera.

Ovaj pristup im omogućava da efikasnije dopiru do potencijalnih žrtava, često koristeći kompromitovane internet lokacije ili zlonamjerne JavaScript injekcije kao ulazne tačke za isporuku korisnih tovara. U nekim slučajevima, primijećeno je da opslužuju različite korisne terete na osnovu geografije primalaca, što dodatno naglašava složenost ovih napada.

 

Uticaj

FrigidStealer zlonamjerni softver predstavlja značajnu prijetnju po bezbjednost pojedinca i organizacije zbog krađe osjetljivih podatak od korisnika. Jedan od najzabrinjavajućih aspekata FrigidStealer zlonamjernog softvera je njegova sposobnost da zaobiđe upozorenja macOS Gatekeeper sigurnosnog mehanizma. Apple ugrađene bezbjednosne funkcije su dizajnirane da zaštite uređaje od zlonamjernog softvera, ali FrigidStealer zlonamjerni softver je pronašao načine da izbjegne ove zaštite. Ovo naglašava ranjivost u Apple odbrani i izaziva ozbiljnu zabrinutost za Mac korisnike koji se oslanjaju na ove mjere zaštite.

Podaci koje FrigidStealer zlonamjerni softver ukrade, mogu se koristiti za krađu identiteta, finansijske prevare ili druge zlonamjerne aktivnosti. Zlonamjerni softver izdvaja kolačiće pretraživača, uskladištene lozinke, datoteke u vezi sa kriptovalutama, pa čak i osjetljive informacije iz Apple Notes. Ovakav nivo pristupa ličnim i poslovnim podacima je alarmantan, jer dovodi pojedince u opasnost od kompromitovanja njihovog identiteta.

Uticaj FrigidStealer zlonamjernog softvera nije ograničen na individualnu bezbjednost, njegovi efekti imaju i značajne implikacije i na organizacije. Kako Mac računari postaju sve popularniji u poslovnim okruženjima, rizik od ugrožavanja podataka eksponencijalno raste. Ako zaposleni u organizaciji koriste kompromitovane uređaje ili pristupaju osjetljivim informacijama preko zaraženih internet pregledača, to može dovesti do katastrofalnih posljedica za kompaniju.

Opasnost od FrigidStealer zlonamjernog softvera i drugih macOS prijetnji je zabrinjavajući trend koji sugeriše da zlonamjerni akteri povećavaju svoje operacije dok iskorištavaju propuste u odbrani macOS operativnog sistema. Ovaj usmjereni napor zlonamjernih aktera naglašava potrebu za poboljšanim bezbjednosnim mjerama u Apple ekosistemu.

 

ZAKLJUČAK

FrigidStealer je macOS zlonamjerni softver koji skenira sisteme u potrazi za osjetljivim podacima i eksfiltrira ih na svoj server za komandu i kontrolu. Prvi put je primijećen krajem januara 2025. godine kao dio šire kampanje koja uključuje finansijski motivisane grupe zlonamjernih aktera TA2726 i TA2727, koje koriste mreže za distribuciju saobraćaja (TDN) za isporuku različitih sadržaja zlonamjernog softvera na osnovu regiona i tipa uređaja.

Primarna funkcija FrigidStealer zlonamjernog softvera je krađa osjetljivih informacija sa inficiranih Mac računara, uključujući akreditive za prijavu, brojeve kreditnih kartica i druge lične podatke. Ovi ukradeni podaci se zatim mogu koristiti u razne zlonamjerne svrhe, kao što su krađa identiteta ili finansijska dobit.

Pojava FrigidStealer zlonamjernog softvera naglašava porast prijetnji za korisnike macOS operativnog sistema. Kako sve više grupa zlonamjernih aktera skreće pažnju na razvoj macOS zlonamjernog softvera, od suštinskog je značaja da korisnici macOS operativnog sistema ostanu oprezni u pogledu najboljih bezbjednosnih praksi i da budu u toku sa najnovijim softverskim zakrpama i ažuriranjima.

Pored toga, korišćenje mreže za distribuciju saobraćaja (TDN) naglašava složenost i sofisticiranost savremenih sajber prijetnji. Ove mreže omogućavaju zlonamjernim akterima da distribuiraju različite vrste zlonamjernog softvera na osnovu specifičnih kriterijuma, čineći otkrivanje i ublažavanje uticaja izazovnijim za branioce. Kao rezultat toga, ključno je da profesionalci u oblasti sajber bezbjednosti budu informisani o novonastalim prijetnjama i da shodno tome prilagode svoje strategije.

Na kraju, FrigidStealer zlonamjerni softver služi kao podsjetnik da nijedan operativni sistem nije imun na sajber prijetnje. Korisnici macOS operativnog sistema moraju ostati proaktivni u zaštiti od zlonamjernog softvera kao što je FrigidStealer zlonamjerni softver tako što će praktikovati navike bezbjednog pregledanja, koristeći renomirani antivirusni softver i biti informisani o najnovijim bezbjednosnim dešavanjima.

 

ZAŠTITA

Evo preporuka o tome kako da se zaštititi od FrigidStealer zlonamjernog softvera:

  1. Primijeniti softver za detekciju i odgovor na prijetnje (eng. Endpoint detection and response – EDR) kako bi se otkrile i spriječile zlonamjerne aktivnosti u vezi sa FrigidStealer zlonamjernim softverom. Ovaj softver može pomoći da se identifikuje i blokira sumnjivi saobraćaj, datoteke ili skripte koje zlonamjerni akteri mogu koristiti za distribuciju zlonamjernog softvera. Pored toga, alati za praćenje mreže mogu pratiti neobične obrasce ponašanja na mreži, omogućavajući da se brzo odgovori na potencijalne prijetnje;
  2. Obučite korisnike da prepoznaju kako FrigidStealer zlonamjerni softver funkcioniše i prijave svaku sumnjivu aktivnost svojim bezbjednosnim timovima. Ova obuka bi trebalo da bude integrisana u postojeće programe podizanja svesti o sajber bezbjednosti, naglašavajući taktike koje koriste zlonamjerni akteri da distribuiraju zlonamjerni softver preko legitimnih internet lokacija. Edukacijom korisnika o ovim prevarama moguće je osnažiti korisnike da preuzmu proaktivnu ulogu u zaštiti imovine organizacije;
  3. Ograničite korisnicima Windows operativnog sistema da preuzimaju datoteke skripte i otvaraju ih u bilo čemu osim kao tekstualne datoteke. Ovo se može konfigurisati preko podešavanja grupne politike (eng. group policy), što će spriječiti zlonamjerne aktere da koriste skripte kao ulaznu tačku za zlonamjerni softver FrigidStealer. Ograničavanjem tipova datoteka koje se mogu izvršavati na mreži, smanjuje se površina napada koja je dostupna zlonamjernim akterima;
  4. Koristite alatke za izolaciju internet pregledača kako bi se spriječila uspješna eksploataciju kada se kompromitovane veze primaju putem elektronske pošte i kliknu na njih. Ovi alati stvaraju zaštićeno okruženje za pregledanje, izolujući sve potencijalne prijetnje iz glavne mreže. Koristeći ove alate, moguće je smanjiti rizik od pokretanja zlonamjernog softvera FrigidStealer na sistemima unutar organizacije;
  5. Pratiti mrežni saobraćaj kako bi se otkrili neobični obrasci koji mogu ukazivati na zlonamjerne aktivnosti povezane sa FrigidStealer zlonamjernim softverom. Ovo praćenje bi trebalo da uključi analizu HTTP zahteva i odgovora, kao i svih sumnjivih datoteka ili skripti koje se preuzimaju na internu mrežu. Praćenjem ovih znakova, moguće je brzo odgovoriti na potencijalne prijetnje prije nego što postanu veliki incidenti;
  6. Sprovoditi redovne bezbjednosne revizije kako bi se identifikovale ranjivosti u sistemima koje mogu da iskoriste FrigidStealer zlonamjerni akteri. Ove revizije treba da uključuju pregled softvera za detekciju i odgovor na prijetnje (EDR), mogućnosti mrežnog praćenja i podešavanja izolacije internet pregledača. Proaktivnim identifikovanjem slabosti, moguće je preduzeti korake ka njihovom otklanjanju prije nego što postanu meta zlonamjernih aktera;
  7. Potrebno je biti u toku sa novim prijetnjama kao što je FrigidStealer zlonamjerni softver praćenjem redovnih bezbjednosnih novosti iz pouzdanih izvora. Ove novosti treba da sadrže informacije o taktikama koje koriste zlonamjerni akteri, novim ranjivostima koje se iskorištavaju i svim promjenama ponašanja zlonamjernog softvera koje mogu da utiču na odbranu organizacije;
  8. Integrisati obuku o sajber bezbjednosti u vezi sa FrigidStealer zlonamjernim softverom u postojeće programe obuke za zaposlene. Ova obuka treba da bude prilagođena specifičnim radnim funkcijama u organizaciji, naglašavajući rizike povezane sa svakom ulogom i pružajući smjernice o tome kako da se ublaže te prijetnje. Uključujući ove informacije u redovne sesije edukacije zaposlenih, moguće je podsticati kulturu svesti o sajber bezbjednosti u cijeloj organizaciji;
  9. Implementirati autentifikaciju u više koraka (eng. multi-factor authentication – MFA) za sve korisnike koji pristupaju osjetljivim sistemima ili podacima unutar organizacije. Autentifikacija u više koraka dodaje još jedan sloj bezbjednosti zahtjevajući od korisnika da navede više od same lozinke pre nego što dobiju pristup ovim resursima. Korišćenjem ove tehnologije, moguće je značajno smanjiti rizik da će zlonamjerni akteri moći da dobiju neovlašteni pristup;
  10. Kontinuirano pregledati i poboljšavati svoju odbranu od prijetnji kao što je FrigidStealer zlonamjerni softver tako što će se redovno procjenjivati bezbjednosni položaj i identifikovati oblasti za poboljšanje. Ova evaluacija treba da uključi analizu softvera za detekciju i odgovor na prijetnje (EDR), mogućnosti mrežnog praćenja, podešavanja izolacije internet pregledača, konfiguracije autentifikacije u više koraka i programe obuke zaposlenih. Proaktivnim rješavanjem slabosti u ovim oblastima moguće je osigurati da organizacija ostane zaštićena od novih prijetnji kao što je FrigidStealer zlonamjerni softver:
  11. Koristite napredne obavještajne podatke o prijetnjama da bi se zadržala prednost ispred zlonamjernog aktera koji možda koriste taktike slične onima koje koriste kreatori zlonamjernog softvera FrigidStealer. Ova vrsta analize bi trebalo da uključuje praćenje sumnjivih obrazaca u mrežnom saobraćaju, analizu datoteka i skripti koje se preuzimaju na sisteme i identifikaciju potencijalnih ranjivosti koje bi zlonamjerni akteri mogli da iskoriste;
  12. Implementirajte arhitekturu nultog povjerenja u okviru organizacije kako bi se osiguralo da se svi korisnici i uređaji tretiraju kao nepouzdani entiteti dok ne budu propisno potvrđeni i ovlašćeni za pristup. Ovaj pristup treba da uključi stroge kontrole mrežnog saobraćaja, ograničavanje tipova datoteka koje se mogu izvršavati ili preuzimati na sisteme i implementaciju autentifikacije u više koraka za osjetljive resurse.

Prateći ove preporuke, moguće je značajno smanjiti izloženost organizacije riziku prijetnjama kao što je zlonamjerni softver FrigidStealer.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.