حذر باحثون في مجال الأمن السيبراني من حملة جديدة تستغل حقن الويب لتوصيل برمجية خبيثة جديدة لنظام Apple macOS تُعرف باسم FrigidStealer.
تم نسبة هذه النشاطات لمهاجم غير موثق سابقًا يُعرف بـ TA2727، والذي يستخدم أدوات سرقة المعلومات لأنظمة أخرى مثل Windows (Lumma Stealer أو DeerStealer) وAndroid (Marcher) .
وفقًا لفريق أبحاث التهديدات في Proofpoint، فإن TA2727 هو “مهاجم يستخدم طعوم تحديثات وهمية لتوزيع مجموعة متنوعة من البرمجيات الخبيثة.”
التفاصيل الأساسية للهجوم
يُعتبر TA2727 أحد التهديدات المكتشفة حديثًا إلى جانب TA2726، الذي يُعتقد أنه مشغل نظام توزيع حركة مرور خبيثة (TDS) يسهل توصيل البرمجيات الخبيثة لمهاجمين آخرين. يُعتقد أن المهاجم ذو الدوافع المالية نشط منذ سبتمبر 2022 على الأقل.
تعمل TA2726 كـ TDS لمهاجمين آخرين مثل TA2727 وTA569، الذي يتولى توزيع برمجية تحميل تستند إلى JavaScript تُعرف بـ SocGholish (أو FakeUpdates) التي غالبًا ما تتنكر في هيئة تحديثات متصفح على مواقع مشروعة لكنها مخترقة.
كيفية تنفيذ الهجوم
يتشابه كلا من TA569 وTA2727 في أنهما يوزعان عبر مواقع مخترقة تحتوي على حقن JavaScript ضارة تحاكي تحديثات المتصفح لمتصفحات مثل Google Chrome أو Microsoft Edge. يكمن الاختلاف في TA2727 في استخدام سلاسل هجمات تخدم حمولات مختلفة بناءً على جغرافية الجهاز أو المستخدم.
عندما يزور المستخدم موقعًا مصابًا في فرنسا أو المملكة المتحدة على جهاز كمبيوتر يعمل بنظام Windows، يُطلب منه تنزيل ملف MSI يقوم بتشغيل Hijack Loader (المعروف أيضًا باسم DOILoader)، والذي يحمل Lumma Stealer.
في المقابل، نفس التحديث المزيف على جهاز Android يؤدي إلى نشر Trojan مصرفي يُدعى Marcher، والذي تم اكتشافه في البرية لأكثر من عقد.
استهداف مستخدمي macOS
اعتبارًا من يناير 2025، تم تحديث الحملة لاستهداف مستخدمي macOS المقيمين خارج أمريكا الشمالية عبر إعادة توجيههم إلى صفحة تحديث مزيفة تنزل برنامج سرقة المعلومات الجديد FrigidStealer .
يتطلب مثبت FrigidStealer، مثل البرمجيات الخبيثة الأخرى لـ macOS، من المستخدمين تشغيل التطبيق غير الموقع صراحة لتجاوز حماية Gatekeeper، وبعد ذلك يتم تشغيل ملف Mach-O المضمّن لتثبيت البرمجية الخبيثة.
وفقًا لـ Proofpoint، “تم كتابة الملف التنفيذي بلغة Go، وتم توقيعه بشكل خاص.” “تم بناء الملف التنفيذي بمشروع WailsIO، الذي يعرض المحتوى في متصفح المستخدم. هذا يعزز الهندسة الاجتماعية للضحية، مما يوحي بأن مثبت Chrome أو Safari كان شرعيًا.”
FrigidStealer لا يختلف عن العائلات المتعددة من البرمجيات الخبيثة الموجهة لنظام macOS .
يستغل AppleScript لطلب كلمة مرور النظام من المستخدم، مما يمنحه امتيازات مرتفعة لجمع الملفات والمعلومات الحساسة من المتصفحات وApple Notes وتطبيقات العملات الرقمية.
الاستنتاج
“يستخدم المهاجمون الاختراقات على الويب لتوصيل البرمجيات الخبيثة التي تستهدف كل من المستخدمين والشركات”، قالت الشركة. “من المحتمل أن تكون هذه الحقنات الويب مخصصة للمستلمين، بما في ذلك مستخدمي Mac، الذين لا يزالون أقل شيوعًا في البيئات الشركات مقارنة بـ Windows .
يأتي هذا التطور في وقت كشف فيه Tonmoy Jitu من Denwp Research عن تفاصيل برمجية خلفية غير قابلة للاكتشاف تمامًا لنظام macOS تُعرف باسم Tiny FUD، التي تستغل التلاعب بالأسماء، وحقن daemons الرابط الديناميكي (DYLD)، وتنفيذ الأوامر المعتمدة على التحكم والقيادة (C2) .
كما تتزامن مع ظهور برمجيات سرقة المعلومات الجديدة مثل Astral Stealer وFlesh Stealer، التي صُممت لجمع المعلومات الحساسة، وتجنب الاكتشاف، والحفاظ على الاستمرارية على الأنظمة المخترقة.
وقالت Flashpoint في تقرير حديث: “Flesh Stealer فعالة بشكل خاص في اكتشاف بيئات الأجهزة الافتراضية (VM) .”
ستتجنب التنفيذ على VMs لمنع أي تحليل جنائي محتمل، مما يعكس فهمًا لممارسات البحث الأمني.”
