I ricercatori di Proofpoint hanno individuato un nuovo malware per macOS distribuito durante le famigerate campagne FakeUpdate. I cybercriminali sfruttano falsi aggiornamenti di Chrome e Safari per installare FrigidStealer sui Mac delle ignare vittime.
Collaborazione tra cybercriminali
Le campagne FakeUpdate sono in corso da diversi anni e sfruttate da molti gruppi di cybercriminali. Gli esperti di Proofpoint hanno individuato la coppia TA2726 e TA2727 che collaborano per infettare i dispositivi con il nuovo malware. TA2726 fornisce il servizio di distribuzione del traffico (spesso legittimo come quello di Keitaro) a TA2727. Quest’ultimo crea pagine infette per ingannare i visitatori.
In dettaglio, il gruppo TA2727 ha iniettato codice JavaScript in alcune pagine web per mostrare false notifiche che invitano l’utente a scaricare un aggiornamento del browser (Safari e Chrome in questo caso). Quando le ignare vittime cliccano sul pulsante Update, gli utenti Windows scaricano un file MSI che installa Lumma Stealer o DeerStealer sul PC, mentre gli utenti macOS scaricano un file DMG.
Quando montato e aperto nel Finder mostra le istruzioni per l’installazione del presunto aggiornamento. L’utente deve selezionare Apri nel menu contestuale. Viene quindi chiesto il permesso attraverso l’inserimento della password. Ciò permette di aggirare la protezione Gatekeeper.
FrigidStealer inizia quindi a rubare password, cookie e altri dati da Safari e Chrome, legge il contenuto degli appunti (Apple Notes), cerca credenziali di cryptowallet in Desktop e Documenti, raccoglie vari tipi di file dell’utente. I dati vengono salvati in una directory nascosta, compressi e infine inviati al server C2 (command and control) gestito dai cybercriminali.
Ti potrebbe interessare
20 feb 2025