Apple

FakeUpdateマルウェアのキャンペーンはますます混迷を深めており、TA2726およびTA2727として追跡されている2つのサイバー犯罪グループは、FrigidStealerと呼ばれる新しいmacOSインフォステーラーマルウェアをプッシュするキャンペーンを実施しています。

この新しいマルウェアはMacユーザーに配信されますが、同じキャンペーンではWindowsやAndroidのペイロードも使用され、幅広いターゲットに対応しています。

この新しいキャンペーンはProofpointの研究者によって発見されましたが、偽のブラウザ・アップデート・メッセージを表示する悪意のあるJavaScriptは、ますます多くの脅威行為者によって採用されており、追跡や分析をますます厄介なものにしていると指摘しています。

このキャンペーンでは、TA2726 と TA2727 が連携し、前者がトラフィックのディストリビューターおよびファシリテーターとして、後者がマルウェアのディストリビューターとして機能します。

TA2726は、少なくとも2022年9月から活動しており、他のサイバー犯罪者にトラフィックを販売しています。正規のトラフィック配信サービスとして広く悪用されているKeitaro TDSを利用することが多くなっています。

TA2727は、2025年1月に初めて確認された金銭的動機に基づく脅威グループで、Windows向けのLumma Stealer、Android向けのMarcher、macOS向けのFrigidStealerを展開しています。

新しい偽アップデートキャンペーン

FakeUpdateキャンペーンは、脅威行為者がウェブサイトに侵入し、ウェブページのHTMLに悪意のあるJavaScriptを注入して、ユーザーがブラウザのアップデートをインストールする必要があるという偽の通知を表示するものです。

このようなウェブインジェクションは、TDS(トラフィック・ディストリビューション・システム)を通じてウェブサイトの訪問者をプロファイリングし、位置情報、デバイス、OS、およびブラウザの種類に基づいて被害者を感染の対象とします。

ユーザーから見ると、アラートはGoogleやSafariから来ているように見え、サイトを閲覧するにはブラウザのアップデートをインストールする必要があると表示される。しかし、「アップデート」ボタンをクリックすると、アップデートを装った悪意のある実行ファイルがダウンロードされる。

Fake update prompts on compromised websites
侵害されたウェブサイト上の偽の更新プロンプト
Source:Proofpoint

WindowsユーザーにはLumma StealerまたはDeerStealerをロードするMSIインストーラーが、Macユーザーには新しいマルウェアFrigidStealerをインストールするDMGファイルが、AndroidユーザーにはMarcherバンキング型トロイの木馬を含むAPKファイルがダウンロードされます。

Macユーザーは、ファイルを右クリックして「開く」を選択し、macOS Gatekeeperの保護を突破するためにパスワードの入力を求められるダウンロードを手動で起動する必要がある。

Legitimate appearing updater
正規のアップデータ
:Proofpoint

macOSを狙うFrigidStealer

FrigidStealerはGoベースのマルウェアで、WailsIOフレームワークを使用して構築されています。

このマルウェアは、macOS上のSafariやChromeに保存されたクッキー、ログイン認証情報、パスワード関連ファイルを抽出します。

さらに、MacOSのDesktopおよびDocumentsフォルダに保存されている暗号ウォレットの認証情報をスキャンし、パスワード、財務情報、またはその他の機密情報を含むApple Notesを読み取って抽出し、ユーザーのホームディレクトリから文書、スプレッドシート、テキストファイルを収集します。

Stealing sensitive data from macOS
macOS から機密データを盗む
Source:プルーフポイント

窃取されたデータは、ユーザーのホームディレクトリ内の隠しフォルダにバンドルされ、圧縮され、最終的にマルウェアのコマンド&コントロール(C2)アドレスである「askforupdate[.]org」に流出します。

Infostealerのキャンペーンは、ここ数年で大規模な世界的活動となっており、ホームユーザーと組織の両方に壊滅的な攻撃をもたらしています。

これらの攻撃は一般的に、金銭詐欺、プライバシーリスク、データ漏洩、恐喝要求、本格的なランサムウェア攻撃につながります。

infostealer に感染しないためには、ウェブサイト、特に修正プログラム、アップデート、キャプチャなどを装ったコマンドやダウンロードを決して実行しないようにしましょう。

インフォステーラーに感染した場合、アカウントを持っているすべてのサイトのパスワードを変更する必要があります。特に、複数のサイトで同じパスワードを使用している場合は注意が必要です。