Cybersicherheitsforscher von Proofpoint haben eine hochentwickelte neue Malware namens FrigidStealer identifiziert, die gezielt macOS-Systeme angreift. Der Infostealer verbreitet sich durch kompromittierte Websites und täuscht Nutzer mit gefälschten Browser-Update-Benachrichtigungen, wodurch er eine ernsthafte Bedrohung für die Datensicherheit darstellt.
Organisierte Cyberkriminelle Gruppen hinter der Kampagne
Die Verbreitung von FrigidStealer wird von zwei spezialisierten Hackergruppen gesteuert: TA2726, aktiv seit September 2022, und TA2727, erstmals im Januar 2025 beobachtet. TA2726 nutzt das Keitaro Traffic Direction System (TDS) für die Malware-Distribution, während TA2727 ein breites Arsenal an Schadsoftware einsetzt, darunter den Lumma Stealer für Windows und den Marcher Banking-Trojaner für Android.
Ausgefeilte Social Engineering Taktiken
Die Angreifer implementieren eine FakeUpdate-Kampagne durch eingeschleusten JavaScript-Code auf kompromittierten Websites. Das TDS-basierte Profiling analysiert Besucherdaten wie Standort, Gerät und Browser, um die effektivste Malware-Variante auszuwählen. Diese gezielte Vorgehensweise erhöht die Erfolgsquote der Angriffe signifikant.
Technische Analyse der FrigidStealer Funktionalität
Die in Go programmierte Malware verwendet das WailsIO Framework und erfordert aktive Nutzerinteraktion zur Installation. Nach erfolgreicher Infiltration führt FrigidStealer folgende Operationen durch:
- Extraktion von Cookies, Zugangsdaten und Passwörtern aus Safari und Chrome
- Sammlung von Cryptocurrency Wallet-Informationen
- Zugriff auf sensitive Apple Notes-Inhalte
- Exfiltration von Dokumenten aus Nutzerverzeichnissen
Fortschrittliche Datenexfiltration
Die gestohlenen Daten werden in einem versteckten Verzeichnis zwischengespeichert, komprimiert und an den Command & Control Server askforupdate[.]org übermittelt. Besonders besorgniserregend ist die Fähigkeit der Malware, macOS-Sicherheitsmechanismen wie Gatekeeper zu umgehen.
Effektiver Schutz vor FrigidStealer erfordert mehrschichtige Sicherheitsmaßnahmen. Organisationen und Privatanwender sollten Browser-Updates ausschließlich über offizielle Kanäle beziehen, moderne Endpoint-Protection-Lösungen einsetzen und regelmäßige Backups durchführen. Die Implementation einer Zero-Trust-Strategie und kontinuierliche Mitarbeiterschulungen sind weitere essenzielle Bausteine einer robusten Cybersicherheitsarchitektur.
