FrigidStealer Voleur
Des chercheurs en cybersécurité ont découvert une nouvelle campagne déployant des injections Web pour diffuser une menace macOS jusqu'alors non identifiée connue sous le nom de FrigidStealer. La campagne a été associée à un acteur malveillant surnommé TA2727, qui a également été associé à des menaces de vol d'informations ciblant Windows (Lumma Stealer, DeerStealer) et Android ( Marcher ).
Table des matières
TA2727 et son rôle dans le paysage des menaces
TA2727 est connu pour utiliser de fausses mises à jour pour distribuer diverses charges utiles malveillantes. Il s'agit de l'un des groupes de menaces nouvellement identifiés aux côtés de TA2726, un acteur évalué comme exploitant un système de distribution de trafic malveillant (TDS). Ce système permet la propagation de logiciels malveillants en dirigeant le trafic Web compromis vers des acteurs de la menace tels que TA2727 et TA569.
La relation entre TA2726 et d’autres acteurs de la menace
TA2726 joue un rôle clé dans la distribution des malwares en agissant comme TDS pour TA2727 et TA569. Ce dernier est connu pour déployer SocGholish (également connu sous le nom de FakeUpdates), un chargeur basé sur JavaScript se faisant passer pour une mise à jour de navigateur sur les sites Web compromis. Depuis au moins septembre 2022, TA2726 facilite la redirection du trafic pour ces acteurs de la menace motivés par l'argent, ce qui en fait un acteur essentiel dans le paysage des cybermenaces.
Fausses mises à jour et charges utiles géo-ciblées
Les malwares TA2727 et TA569 diffusent leurs menaces via des sites Web contenant du JavaScript corrompu. Ces sites compromis incitent les utilisateurs à télécharger de fausses mises à jour de navigateur pour Google Chrome ou Microsoft Edge. Cependant, TA2727 utilise une approche plus personnalisée, diffusant des malwares spécifiques en fonction de l'emplacement du destinataire et du type d'appareil.
Par exemple, si un utilisateur Windows en France ou au Royaume-Uni visite un site Web infecté, il peut être invité à télécharger un fichier d'installation MSI qui lance Hijack Loader (DOILoader), qui fournit ensuite Lumma Stealer. De même, les utilisateurs Android redirigés via le même schéma peuvent télécharger sans le savoir Marcher, un cheval de Troie bancaire notoire qui est actif depuis plus d'une décennie.
Extension de l’attaque aux utilisateurs de macOS
Depuis janvier 2025, TA2727 a étendu sa campagne pour cibler les utilisateurs de macOS résidant hors d'Amérique du Nord. Ces utilisateurs sont redirigés vers des pages de mise à jour frauduleuses qui déclenchent le téléchargement de FrigidStealer, un voleur d'informations nouvellement identifié.
Pour contourner la fonction de sécurité Gatekeeper d'Apple, le programme d'installation de FrigidStealer oblige les utilisateurs à lancer manuellement l'application non signée. Une fois exécuté, l'exécutable Mach-O intégré installe la menace, marquant une escalade significative de la cybercriminalité ciblant macOS.
Comment fonctionne FrigidStealer
FrigidStealer est construit à l'aide du langage de programmation Go et propose une signature ad hoc. Il utilise notamment le projet WailsIO, qui permet de restituer le contenu dans le navigateur de l'utilisateur. Cette tactique renforce l'illusion que l'installateur malveillant est légitime, augmentant ainsi la probabilité d'une infection réussie.
Une fois exécuté, FrigidStealer utilise AppleScript pour demander le mot de passe système de l'utilisateur, lui accordant ainsi des privilèges élevés. Grâce à cet accès, la menace peut collecter des fichiers, des données de navigateur sensibles, des notes Apple et des informations liées à la cryptomonnaie, ce qui représente un risque important pour les utilisateurs concernés.
Vue d’ensemble : les campagnes de logiciels malveillants sur le Web
L'utilisation de sites Web compromis comme mécanismes de diffusion de programmes malveillants met en évidence une tendance actuelle en matière de cybermenaces. Les attaquants personnalisent les charges utiles en fonction du système d'exploitation et de la situation géographique de la cible, garantissant ainsi un impact maximal. Bien que les systèmes macOS restent moins courants dans les environnements d'entreprise que Windows, cette campagne renforce le besoin croissant des utilisateurs de macOS de rester vigilants face à l'évolution des cybermenaces.
