FrigidStealer Stealer
Los investigadores de ciberseguridad han descubierto una nueva campaña que implementa inyecciones web para distribuir una amenaza para macOS no identificada previamente, conocida como FrigidStealer. La campaña se ha asociado con un actor de amenazas llamado TA2727, que también se ha asociado con amenazas de robo de información dirigidas a Windows (Lumma Stealer, DeerStealer) y Android ( Marcher ).
Tabla de contenido
TA2727 y su papel en el panorama de amenazas
TA2727 es conocido por utilizar señuelos de actualizaciones falsas para distribuir diversas cargas útiles maliciosas. Es uno de los grupos de amenazas recientemente identificados junto con TA2726, un actor que se ha evaluado que opera un sistema de distribución de tráfico (TDS) malicioso. Este sistema permite la propagación de malware al dirigir el tráfico web comprometido a actores de amenazas como TA2727 y TA569.
La relación entre TA2726 y otros actores amenazantes
TA2726 desempeña un papel clave en la distribución de malware al actuar como TDS tanto para TA2727 como para TA569. Este último es conocido por implementar SocGholish (también conocido como FakeUpdates), un cargador basado en JavaScript que se hace pasar por una actualización del navegador en sitios web comprometidos. Desde al menos septiembre de 2022, TA2726 ha facilitado la redirección del tráfico para estos actores de amenazas con motivaciones económicas, lo que lo convierte en un actor esencial en el panorama de las amenazas cibernéticas.
Actualizaciones falsas y cargas útiles geográficamente segmentadas
Tanto TA2727 como TA569 distribuyen sus amenazas a través de sitios web a los que se les inyecta JavaScript corrupto. Estos sitios infectados engañan a los usuarios para que descarguen actualizaciones falsas del navegador para Google Chrome o Microsoft Edge. Sin embargo, TA2727 emplea un enfoque más personalizado y distribuye malware específico en función de la ubicación del destinatario y el tipo de dispositivo.
Por ejemplo, si un usuario de Windows en Francia o el Reino Unido visita un sitio web infectado, se le puede solicitar que descargue un archivo de instalación MSI que ejecute Hijack Loader (DOILoader), que luego entrega Lumma Stealer. De manera similar, los usuarios de Android redirigidos a través del mismo esquema pueden descargar sin saberlo Marcher, un conocido troyano bancario que ha estado activo durante más de una década.
Ampliando el ataque a los usuarios de macOS
A partir de enero de 2025, TA2727 ha ampliado su campaña para dirigirse a los usuarios de macOS que residen fuera de Norteamérica. Estos usuarios son redirigidos a páginas de actualización fraudulentas que desencadenan la descarga de FrigidStealer, un ladrón de información recientemente identificado.
Para eludir la función de seguridad Gatekeeper de Apple, el instalador de FrigidStealer requiere que los usuarios inicien la aplicación no firmada manualmente. Una vez ejecutada, el ejecutable Mach-O integrado instala la amenaza, lo que marca una escalada significativa en los delitos cibernéticos dirigidos contra macOS.
Cómo funciona FrigidStealer
FrigidStealer está desarrollado con el lenguaje de programación Go y cuenta con firma ad hoc. En particular, utiliza el proyecto WailsIO, que permite mostrar contenido dentro del navegador del usuario. Esta táctica mejora la ilusión de que el instalador malicioso es legítimo, lo que aumenta la probabilidad de una infección exitosa.
Una vez ejecutado, FrigidStealer utiliza AppleScript para solicitar la contraseña del sistema del usuario, otorgándole privilegios elevados. Con este acceso, la amenaza puede recopilar archivos, datos confidenciales del navegador, Apple Notes e información relacionada con criptomonedas, lo que representa un riesgo significativo para los usuarios afectados.
El panorama más amplio: campañas de malware basadas en la Web
El uso de sitios web comprometidos como mecanismos de distribución de malware pone de relieve una tendencia en curso en materia de ciberamenazas. Los atacantes personalizan las cargas útiles en función del sistema operativo y la ubicación geográfica del objetivo, lo que garantiza el máximo impacto. Aunque los sistemas macOS siguen siendo menos comunes en entornos empresariales en comparación con Windows, esta campaña refuerza la creciente necesidad de que los usuarios de macOS se mantengan alerta ante las ciberamenazas en constante evolución.
