Хакеры атакуют владельцев устройств на macOS, распространяя вредоносный FrigidStealer под видом обновлений популярных браузеров. Аналитики компании Proofpoint выяснили, что за этой активностью стоит группировка TA2727, связанная с распространением Lumma Stealer для Windows и Marcher для Android.
Эксперты подчёркивают, что TA2727 использует фейковые обновления для доставки вредоносных программ. Эта структура является частью более широкой сети, куда входит TA2726 — оператор системы дистрибуции трафика (TDS), работающей в интересах киберпреступников.
Группировка TA2726, в свою очередь, сотрудничает с TA569, ответственными за распространение JavaScript-загрузчика SocGholish, более известного как FakeUpdates, который маскируется под обновления браузеров.
Тактика TA2727 во многом схожа с методами TA569. Злоумышленники взламывают сайты и внедряют в них вредоносный JavaScript-код, который визуально повторяет страницы обновлений Chrome и Edge. Специалисты отмечают, что особенность TA2727 заключается в адаптации вредоносного ПО в зависимости от операционной системы и региона жертвы.
Например, пользователи Windows во Франции и Великобритании скачивали MSI-файл с Hijack Loader, загружавшим Lumma Stealer. Если заражённую страницу открывал владелец Android-устройства, ему предлагали банковский троян Marcher.
С начала 2025 года хакеры изменили свои методы и расширили зону атак, нацелившись на владельцев macOS за пределами Северной Америки. При посещении заражённого ресурса пользователю предлагают загрузить фейковое обновление браузера, в котором скрывается FrigidStealer.
Чтобы сделать атаку более убедительной, злоумышленники применяют методы социальной инженерии — установочный файл подписывается вручную и оформляется так, чтобы выглядеть как легитимное программное обеспечение.
После запуска FrigidStealer запрашивает у жертвы ввод пароля администратора через AppleScript. Получив расширенные привилегии, вредонос беспрепятственно крадёт конфиденциальные данные. Он собирает файлы, извлекает информацию из браузеров, приложения «Заметки» и программ, связанных с криптовалютами.
Специалисты подчёркивают, что атаки через заражённые веб-страницы остаются серьёзной угрозой, а злоумышленники постоянно совершенствуют свои методы, подстраиваясь под новые цели. Владельцам macOS советуют загружать обновления только с официальных сайтов и избегать установки программного обеспечения из сомнительных источников.
Ещё по теме: