New FrigidStealer Malware Targets macOS Users via Fake Browser Updates
2025/02/18 TheHackerNews — Webインジェクションを悪用する、FrigidStealer という Apple macOS マルウェアを配信する新たなキャンペーンについて、サイバー・セキュリティ研究者たちが警告している。
この活動は、Windows プラットフォーム向けの Lumma Stealer/DeerStealer および、Android プラットフォーム向けの Marcher などの情報窃盗ツールを用いる、これまで文書化されていない TA2727 という脅威アクターによるものとされている。
Proofpoint の Threat Research Team は、「偽のアップデートをテーマにするルアーを用いる TA2727 は、さまざまなマルウェア・ペイロードを配布する脅威アクターである」と、The Hacker Newsと共有したレポートで述べている。
この TA2727 は、悪意の TDS (traffic distribution system) オペレーターと評価され、他の脅威アクターによるマルウェア配信を容易にするものであり、すでに特定されている脅威活動クラスター TA2726 に類似している。この金銭目的の脅威アクターは、遅くとも 2022年9月から活動していると考えられている。
Proofpoint によると、別の脅威アクター TA569 の TDSとして機能しているのが TA2726 である。すでに侵害済のサイトで、ブラウザのアップデートを装うことが多い TA569 は、SocGholish (別名 FakeUpdates) と呼ばれる JavaScript ベースのローダー・マルウェアの配布を担当している。
同社は、「TA2726 は金銭目的の脅威アクターであり、TA569 や TA2727 など金銭目的のアクターと協力している。つまり TA2726 は、他の脅威アクターが操作するインジェクトにつながる、Web サーバまたは Web サイトの侵害に関与している可能性が高い」と指摘している。
そして TA2727 と TA569 は、悪意の JavaScript Web サイト・インジェクトで侵害した Web サイトを介して、Google Chrome/Microsoft Edge などの Web ブラウザー・アップデートを装い、マルウェアを配布するという点で類似している。 なお、TA2727 の特殊な点は、受信者の地域やデバイスに基づき、それぞれに合わせたペイロードを提供する攻撃チェーンを使用している点である。
Windows を使用するユーザーが、フランスや英国の感染済み Web サイトにアクセスすると、MSI インストーラー・ファイルをダウンロードするよう求められる。このインストーラー・ファイルにより、Hijack Loader (別名 DOILoader) が起動され、続いて Lumma Stealer がロードされる。
その一方で、Android デバイスからアクセスした場合の、同じ偽の更新リダイレクトは、10 年以上にわたって積極的に活動している、Marcher と呼ばれるバンキング型トロイの木馬の展開につながる。
それに加えて、このキャンペーンは 2025年1月の時点で更新され、北米以外に居住する macOS ユーザーを標的にして、コード名 FrigidStealer という新たな情報窃盗マルウェアをダウンロードさせる、偽の更新ページへとリダイレクトするようになった。
FrigidStealer インストーラーは、他の macOS マルウェアと同様に、署名のないアプリをユーザーが明示的に起動することで、Gatekeeper 保護を通過する必要がある。そして、この手続きの後に、埋め込まれた Mach-O ファイルが実行され、マルウェアがインストールされる。
Proofpoint は、「この実行ファイルは Go で書かれ、アドホック署名されている。この実行ファイルは WailsIO プロジェクトで構築されており、ユーザーのブラウザ上でコンテンツをレンダリングする。それにより、被害者に対するソーシャル・エンジニアリングが強化され、偽の Chrome/Safari インストーラーを、正当なものに見せかける」と述べている。
FrigidStealer が行うことは、macOS システムを狙う、これまでのスティーラー・ファミリーと何ら変わりはない。AppleScript を悪用して、ユーザーに対してシステム・パスワードの入力を促し、Webブラウザ/Apple Notes/暗号通貨関連アプリなどから、あらゆる種類の機密情報を収集するための昇格された権限を取得する。
Proofpoint は、「この攻撃者は Web の侵害を利用して、企業/個人ユーザーを標的としてマルウェアを配信する。このような Web インジェクトが、受信者向けにカスタマイズされたマルウェアを配信するのはよくあることだ。この攻撃には Mac ユーザーが対象となるが、企業環境において Windows ほど一般的なものではない」と述べている。
先日には、Denwp Research の Tonmoy Jitu が、名前操作/DYLD (dynamic link daemon)/C2 (command-and-control) ベースのコマンド実行を活用し、検出が不可能とされる別の macOS バックドア Tiny FUD の詳細が公開されている。
また、Astral Stealer や Flesh Stealer などの、新しい情報窃盗マルウェアも出現している。どちらも機密情報を収集し、検出を回避し、侵害したシステム上で永続性を維持するように設計されている。
Flashpoint は、「この Flesh Stealer は、仮想マシン (VM) 環境の検出において、突出した能力を持っている。フォレンジック分析を防ぐために、VM での実行を避けていることから、セキュリティ研究の実践を理解していると示唆される」と指摘している。
偽の Web ブラウザ更新を装って FrigidStealer マルウェアを配布する、キャンペーンが展開されています。不審な更新通知には、十分にご注意ください。なお、2025/02/14 には「Astaroth という Phishing Kit:Gmail/Yahoo/Office 365 などの 2FA を容易に突破」という記事をポストしています。よろしければ、Phishing で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.