Proofpoint: новый вредонос FrigidStealer атакует Mac через фальшивые обновления браузера
Изображение: Wesson Wang (unsplash)
Киберпреступные операции под названием FakeUpdate продолжают усложняться. Специалисты выявили активность групп TA2726 и TA2727, которые распространяют свежий инструмент для кражи данных с устройств Apple – FrigidStealer. Хотя это ПО нацелено на macOS, злоумышленники используют и другие вредоносные программы, атакующие Windows и Android, что позволяет охватить широкий круг жертв, сообщили эксперты Proofpoint в новом отчете.
Исследователи Proofpoint зафиксировали всплеск применения вредоносного JavaScript, создающего поддельные сообщения об обновлении браузера. Подобные методы приобретают популярность среди киберпреступников, что затрудняет их обнаружение.
Группировки действуют совместно. TA2726 выполняет роль посредника, управляя трафиком, тогда как TA2727 занимается непосредственным распространением вредоносного кода.
Первая из них активна как минимум с осени 2022-го и занимается продажей трафика. Чаще всего она использует Keitaro TDS — легальный сервис, который злоумышленники адаптировали под свои нужды.
Вторая группа, зафиксированная в начале 2025-го, нацелена на финансовую выгоду и применяет несколько разновидностей вредоносного ПО. Среди них — Lumma Stealer для Windows, Marcher для Android и FrigidStealer для macOS.
FakeUpdate действует по стандартной схеме: злоумышленники взламывают сайты и внедряют в HTML-код вредоносный скрипт. В результате посетителям показываются ложные уведомления о необходимости обновления браузера.
Используя TDS, система анализирует информацию о пользователе — его местоположение, устройство и браузер — и определяет, кому именно подсовывать вредоносный файл.
На экране появляется уведомление, стилизованное под Google или Safari, предлагающее загрузить обновление. Однако, кликнув по кнопке, пользователь скачивает вредоносный файл.
На Windows загружается установщик MSI, активирующий Lumma Stealer или DeerStealer. Владельцы Mac получают DMG, который запускает FrigidStealer. На Android попадает APK-файл с банковским трояном Marcher.
Чтобы запустить загруженный файл на macOS, пользователю нужно вручную его открыть, выбрав соответствующую опцию в контекстном меню. Затем система запрашивает пароль, позволяющий обойти защиту Gatekeeper.
Детальный разбор угрозы от компании Proofpoint доступен в полном отчёте по ссылке.
