最近,网络犯罪分子又找到了新招数,他们利用虚假软件更新来传播恶意软件,而Mac用户这次成了重点攻击目标。研究人员发现,两个新的威胁行为者——TA2726和TA2727,正在通过网络注入活动来传播恶意软件。他们通常会伪装成浏览器更新,诱骗用户下载有害软件,其中就包括一种新发现的macOS恶意软件FrigidStealer。
在过去,威胁行为者TA569及其SocGholish网络注入一直是虚假更新领域的“主角”,它们常常引发勒索软件攻击。但从2023年开始,一些模仿者纷纷出现,这让追踪这些威胁变得更加复杂。Proofpoint团队在研究中发现,随着越来越多的新参与者使用类似的手段,分析师很难区分不同的威胁行为者及其活动。
FrigidStealer是一种专门针对macOS的信息窃取恶意软件。它通过被入侵的网站传播,这些网站会向访客显示虚假的浏览器更新提示。如果Mac用户不小心点击了“更新”按钮,就会不知不觉地下载一个恶意的DMG文件。
安装后,FrigidStealer会利用AppleScript和osascript收集敏感数据,包括浏览器Cookie、与加密货币相关的文件,甚至Apple Notes中的内容。虽然Apple Notes中的锁定笔记是端到端加密的,但未锁定的笔记或者存储在桌面或文档文件夹中的普通文件可能会被窃取。被盗数据随后会被发送到askforupdate[.]org的命令与控制服务器。
整个攻击过程是这样的:用户访问被入侵的网站后,TA2726的流量分发系统会将他们重定向到由TA2727控制的恶意域名。根据用户的设备和浏览器,他们收到的是量身定制的虚假更新提示。对于Mac用户,恶意软件伪装成合法的Google Chrome或Safari更新。当用户点击“更新”按钮时,恶意DMG文件就会被下载,安装过程还会提示用户绕过macOS的Gatekeeper安全机制。FrigidStealer随后运行一个由WailsIO构建的Mach-O可执行文件,让虚假安装程序看起来更真实。最终,恶意软件会将提取的敏感数据传输到其命令与控制服务器,完成攻击。
那么,用户该如何防范FrigidStealer呢?首先,要时刻警惕意外出现的软件更新提示,尤其是在浏览网页时。不要轻易点击弹出窗口,而是直接访问官方网站或打开应用程序的内置更新功能,确保下载的是正版软件。此外,保持安全软件的更新也很重要,它可以帮助检测和阻止潜在威胁。
总之,网络犯罪分子的手段越来越狡猾,但只要用户保持警惕,采取正确的防范措施,就能有效避免这些风险。
