Les campagnes de logiciels malveillants FakeUpdate sont de plus en plus confuses, avec deux groupes de cybercriminalité supplémentaires suivis comme TA2726 et TA2727, exécutant des campagnes qui poussent un nouveau malware macOS infostealer appelé FrigidStealer.
Le nouveau malware est livré aux utilisateurs de Mac, mais la même campagne utilise également des charges utiles Windows et Android pour couvrir un large éventail de cibles.
La nouvelle campagne a été découverte par des chercheurs de Proofpoint, qui notent que le JavaScript malveillant pour afficher de faux messages de mise à jour du navigateur est adopté par un nombre croissant d’acteurs de la menace, ce qui rend le suivi et l’analyse de plus en plus difficiles.
Dans cette campagne, TA2726 et TA2727 travaillent ensemble, le premier agissant en tant que distributeur et facilitateur de trafic et le second en tant que distributeur de logiciels malveillants.
TA2726 est actif depuis au moins septembre 2022, vendant du trafic à d’autres cybercriminels. Il exploite souvent Keitaro TDS,un service de distribution de trafic légitime largement utilisé.
TA2727 est un groupe de menaces motivé financièrement identifié pour la première fois en janvier 2025, déployant Lumma Stealer pour Windows, Marcher pour Android et FrigidStealer pour macOS.
Nouvelle campagne de fausses mises à jour
Les campagnes de fausses mises à jour se produisent lorsque des acteurs de la menace violent des sites Web et injectent du JavaScript malveillant dans le code HTML des pages Web qui affichent de fausses notifications indiquant que l’utilisateur doit installer une mise à jour du navigateur.
Ces sites Web injectent des visiteurs de sites Web de profil via un TDS (Traffic Distribution System) et qualifient les victimes d’infection en fonction de leur emplacement, de leur appareil, de leur système d’exploitation et de leur type de navigateur.
Du point de vue de l’utilisateur, l’alerte semble provenir de Google ou de Safari, indiquant qu’une mise à jour du navigateur doit être installée pour afficher le site. Cependant, cliquer sur le bouton » Mettre à jour » provoque le téléchargement d’un exécutable malveillant déguisé en mise à jour.
Les utilisateurs Windows reçoivent un programme d’installation MSI qui charge Lumma Stealer ou DeerStealer, les utilisateurs Mac reçoivent un fichier DMG qui installe le nouveau logiciel malveillant FrigidStealer et les utilisateurs Android reçoivent un fichier APK contenant le cheval de Troie bancaire Marcher.
Les utilisateurs de Mac doivent lancer manuellement le téléchargement en cliquant avec le bouton droit sur le fichier, puis en sélectionnant Ouvrir, où ils seront invités à entrer leur mot de passe pour passer les protections de macOS Gatekeeper.
Voleur Frigide ciblant mac OS
FrigidStealer est un malware basé sur Go construit avec le framework WailsIO pour que le programme d’installation paraisse légitime afin qu’aucun soupçon ne soit émis lors de l’infection.
Le malware extrait les cookies enregistrés, les identifiants de connexion et les fichiers liés aux mots de passe stockés dans Safari ou Chrome sur mac OS.
De plus, il recherche les informations d’identification du portefeuille cryptographique stockées dans les dossiers macOS Desktop et Documents, lit et extrait les notes Apple contenant des mots de passe, des informations financières ou d’autres détails sensibles, et collecte des documents, des feuilles de calcul et des fichiers texte à partir du répertoire personnel de l’utilisateur.
Les données volées sont regroupées dans un dossier caché dans le répertoire personnel de l’utilisateur, compressées et finalement exfiltrées vers l’adresse de commande et de contrôle (C2) du logiciel malveillant à l’adresse ‘askforupdate [.] org.’
Les campagnes d’Infostealer sont devenues une opération mondiale massive au cours des dernières années, entraînant des attaques dévastatrices contre les particuliers et les organisations.
Ces attaques entraînent généralement des fraudes financières, des risques pour la confidentialité, des violations de données, des demandes d’extorsion et des attaques de ransomware à grande échelle.
Pour éviter les infections par infostealer, n’exécutez jamais de commandes ou de téléchargements demandés par des sites Web, en particulier ceux qui prétendent être des correctifs, des mises à jour ou des captchas.
Pour ceux qui sont infectés par infostealer, vous devez modifier les mots de passe de chaque site sur lequel vous avez un compte, en particulier si vous utilisez le même mot de passe sur plusieurs sites.