安全专家发现,一只名为FrigidStealer的窃密程序冒充Safari更新传播,窃取Mac计算机用户密码、虚拟货币钱包凭证等敏感数据。
FrigidStealer是在今年初首次出现踪迹,当时是由代号TA2727的黑客组织,使用代号TA2726的组织所运行的恶意流量传播系统(traffic distribution system,TDS)传播窃密程序。安全厂商Proofpoint研究人员指出,TA2727和另一个组织TA569(又名Mustard Tempest Gold Prelude、Purple Vallhund)都是由TA2726服务,它们合作以JavaScript注入程序注入网站中,冒充浏览器更新传播,而FrigidStealer则专门锁定Mac用户。
最新的FrigidStealer攻击活动是由安全厂商Wazuh发现,称攻击活动来自EvilCorp。EvioCorp目标涵盖消费用户和企业,窃取用户或加密货币钱包凭证数据,造成身份窃取或财物诈骗。EvilCorp和前述的TA569关系密切。
这家厂商研究人员说明,FrigidStealer最早可追溯到2025年1月,它专门锁定macOS计算机进行金钱为目标的攻击。它冒充Safari浏览器更新程序,诱使用户下载磁盘镜像文件(disk image file, DMG)。下载该程序需要用户手动在AppleScript程序中输入密码,这可绕过macOS内置杀毒工具Gatekeeper。一旦安装完成,FrigidStealer就会在Mac计算机上搜索敏感数据,并连向外部C2(command-and-controller)服务器,经由DNS信道外流数据。
FrigidStealer是利用社交工程及高明手法窃取敏感数据,研究人员提醒用户提高警觉,时时留意系统是否有异常活动,并安装安全工具。
