本站 2 月 21 日消息,网络安全公司 Proofpoint 于 2 月 18 日发布博文,发现有黑客通过伪装成浏览器更新,针对苹果 Mac 用户分发 FrigidStealer 恶意软件,窃取用户隐私数据。
报告指出 TA2726 和 TA2727 两家黑客组织伪装成浏览器更新,诱骗用户下载恶意软件。用户访问受感染网站后,会被提示进行虚假的浏览器更新。
本站注:用户一旦安装,FrigidStealer 恶意软件会利用 AppleScript 和 osascript 收集敏感数据,包括浏览器 Cookie、加密货币相关文件,甚至 Apple Notes(未加密的笔记),窃取的数据会被发送到 askforupdateorg 的命令控制服务器。
整个攻击链比较复杂,TA2726 将用户重定向到 TA2727 控制的恶意域名,根据用户的设备和浏览器,提供定制的虚假更新提示。
Mac 用户看到的提示是伪造的 Google Chrome 或 Safari 更新,点击“更新”按钮后,会下载恶意 DMG 文件,安装过程会提示用户绕过 macOS Gatekeeper 安全防护。
FrigidStealer 运行由 WailsIO 构建的 Mach-O 可执行文件,让虚假安装程序看起来很真实,感染后恶意软件提取敏感数据并将其泄露到其命令控制服务器,从而完成攻击。
Proofpoint 提醒 Mac 用户,警惕意外的软件更新提示,此外通过官方渠道更新以及更新安全软件等方式防范 FrigidStealer 攻击。