„FakeUpdate“ kenkėjiškų programų kampanijos vis labiau tampa sumišusios, o dvi papildomos kibernetinių nusikaltimų grupės stebimos kaip TA2726 ir TA2727, vykdomos kampanijos, kurios skatina naują „MacOS Infostealer“ kenkėjišką programą, vadinamą „FrigidStealer“.
Naujoji kenkėjiška programa pristatoma „Mac“ vartotojams, tačiau ta pati kampanija taip pat naudoja „Windows“ ir „Android“ naudingus krovinius, kad apimtų platų taikinių asortimentą.
Naująją kampaniją atrado „ProofPoint“ tyrėjai, kurie pažymi, kad kenksmingi „JavaScript“ rodyti netikrų naršyklės atnaujinimo pranešimus priima daugybe grėsmės veikėjų skaičiaus, todėl sekimas ir analizė tampa vis sudėtingesnė.
Šioje kampanijoje TA2726 ir TA2727 dirba kartu, o buvęs eismo platintojas ir tarpininkas, o antrasis – kaip kenkėjiškų programų platintojas.
TA2726 aktyviai veikė bent jau nuo 2022 m. Rugsėjo mėn., Parduodamas srautą kitiems kibernetiniams nusikaltimams. Tai dažnai pasitelkia „Keitaro TDS“, plačiai piktnaudžiaujamą teisėta eismo paskirstymo paslauga.
TA2727 yra finansiškai motyvuota grėsmės grupė, pirmą kartą identifikuota 2025 m. Sausio mėn., Dislokuojanti „Lumma Vairer“ „Windows“, „Marcher for Android“ ir „Frigidstealer for MacOS“.
Nauja netikro atnaujinimo kampanija
„FakeUpdate“ kampanijos yra tada, kai grėsmės veikėjai pažeidžia svetaines ir įšvirkšti kenkėjišką „JavaScript“ į tinklalapių HTML, kuriame pateikiami netikrūs pranešimai, kad vartotojui reikia įdiegti naršyklės atnaujinimą.
Šie žiniatinklio injekcijos profilio svetainės lankytojai per TDS (eismo paskirstymo sistemą) ir kvalifikuoja aukas užkrėtimas pagal jų vietą, įrenginį ir OS bei naršyklės tipą.
Žvelgiant iš vartotojo perspektyvos, atrodo, kad perspėjimas yra iš „Google“ arba „Safari“, teigdamas, kad norint peržiūrėti svetainę reikia įdiegti naršyklės atnaujinimą. Tačiau spustelėjus mygtuką „Atnaujinti“, kenkėjiškas vykdomas vykdomasis asmuo, paslėptas kaip atnaujinimas, turi būti atsisiųstas.
Šaltinis: PROUCKPOPING
„Windows“ vartotojai gauna MSI diegimo programą, įkeliančią „Lumma Vairer“ ar „DeerStealer“, „Mac“ vartotojai gauna DMG failą, kuriame įdiegta naujoji kenkėjiška „FrigidStealer“ kenkėjiška programa, o „Android“ vartotojai gauna APK failą, kuriame yra „Marcher Banking Trojan“.
„Mac“ vartotojai turi rankiniu būdu paleisti atsisiuntimą dešiniuoju pelės mygtuku spustelėdami failą ir tada pasirinkdami atidaryti, kur jie bus paprašyti įvesti slaptažodį, kad būtų galima praeiti pro „MacOS“ vartininkų apsaugą.
Šaltinis: PROUCKPOPING
„Frigidstealer“, nukreiptas į „MacOS“
„FrigidStealer“ yra „Go“ pagrindu sukurta kenkėjiška programa, sukurta naudojant „WaiLSio“ sistemą, kad montuotojas taptų teisėtas, todėl infekcijos metu nėra įtarimų.
Kenkėjiškų programų ištraukos išsaugojo slapukus, prisijungimo kredencialus ir su slaptažodžiu susijusius failus, saugomus „Safari“ ar „Chrome“ „MacOS“.
Be to, jis nuskaito kriptovaliutų piniginės kredencialus, saugomus „MacOS“ darbalaukyje ir dokumentų aplankuose, skaitykite ir ištraukiate „Apple“ užrašus, kuriuose yra slaptažodžių, finansinės informacijos ar kitos neskelbtinos informacijos, ir renka dokumentus, skaičiuokles ir teksto failus iš vartotojo namų katalogo.
Šaltinis: PROUCKPOPING
Pavogti duomenys yra susieti su paslėptu aplanku vartotojo namų kataloge, suspaustus ir galiausiai ištremti į kenkėjiškos programos komandos ir valdymo (C2) adresą „AskForUpdate (.) Org“.
„Infostealer“ kampanijos per pastaruosius kelerius metus tapo didžiule pasauline operacija, sukeldami niokojančius išpuolius tiek namų vartotojams, tiek organizacijoms.
Šie išpuoliai dažniausiai sukelia finansinį sukčiavimą, privatumo riziką, duomenų pažeidimus, turto prievartavimo poreikius ir visiško išpirkos programų išpuolius.
Norėdami išlikti aiškūs nuo infostealerio infekcijų, niekada nevykdykite jokių komandų ar atsisiuntimų, kuriuos ragina svetainės, ypač tomis, kurios apsimeta taisymais, atnaujinimais ar „Captchas“.
Tiems, kurie užsikrėtė „Infostealers“, turite pakeisti slaptažodžius kiekvienoje svetainėje, kurioje turite sąskaitą, ypač jei naudojate tą patį slaptažodį keliose svetainėse.
