Специалисты по кибербезопасности из компании Proofpoint выявили новую вредоносную программу FrigidStealer, нацеленную на пользователей операционной системы macOS. Данный инфостилер распространяется через компрометированные веб-сайты, маскируясь под легитимные обновления браузера, и представляет серьезную угрозу для конфиденциальных данных пользователей.
Организаторы и механизм распространения
За распространение FrigidStealer отвечают две хакерские группировки: TA2726 и TA2727. Первая группа, действующая с сентября 2022 года, специализируется на распространении вредоносного трафика через систему Keitaro TDS. Вторая группа, обнаруженная в январе 2025 года, использует целый арсенал вредоносного ПО, включая стилер Lumma для Windows и банковский троян Marcher для Android.
Техника социальной инженерии
Злоумышленники применяют тактику FakeUpdate, внедряя вредоносный JavaScript-код на взломанные сайты. Посетители таких ресурсов получают поддельные уведомления о необходимости обновления браузера. Система профилирования на основе TDS анализирует местоположение пользователя, тип устройства и браузера для выбора оптимальной вредоносной нагрузки.
Особенности работы FrigidStealer
Вредоносная программа, написанная на языке Go с использованием фреймворка WailsIO, требует от пользователя macOS активных действий для установки. После успешного внедрения в систему FrigidStealer осуществляет масштабный сбор конфиденциальных данных:
- Извлекает сохраненные cookies, учетные данные и пароли из браузеров Safari и Chrome
- Собирает информацию о криптовалютных кошельках
- Получает доступ к заметкам Apple Notes, содержащим конфиденциальную информацию
- Копирует документы и текстовые файлы из пользовательских директорий
Механизм кражи данных
Похищенная информация аккумулируется в скрытой директории, после чего подвергается компрессии и отправляется на командный сервер злоумышленников askforupdate[.]org. Особую опасность представляет способность малвари обходить встроенные защитные механизмы macOS, включая Gatekeeper, что требует повышенной бдительности от пользователей.
Для защиты от подобных угроз рекомендуется соблюдать базовые правила кибербезопасности: не скачивать файлы с подозрительных ресурсов, проверять подлинность обновлений через официальные каналы и использовать современные решения для защиты от вредоносного ПО. Регулярное резервное копирование важных данных также поможет минимизировать потенциальный ущерб от действий киберпреступников.
