Аналітики з компанії Proofpoint виявили новий інфостилер FrigidStealer, націлений на користувачів macOS. Шкідник поширюється через зламані сайти і маскується під оновлення для браузера, змушуючи користувачів вручну запустити корисне навантаження.

За даними експертів, за поширенням FrigidStealer стоять відразу дві хак-групи (TA2726 і TA2727). Зловмисники працюють спільно: TA2726 виступає в ролі розповсюджувача трафіку і посередника, а TA2727 – у ролі розповсюджувача малварі.

TA2727 – фінансово вмотивована хак-група, уперше виявлена в січні 2025 року, яка використовує у своїх атаках стилер Lumma для Windows, банкер Marcher для Android і FrigidStealer для macOS.

Зловмисники працюють за схемою FakeUpdate, тобто просувають фальшиві оновлення через безліч зламаних сайтів, у код яких впроваджується шкідливий JavaScript, що відповідає за відображення фейкових повідомлень про необхідність терміново встановити оновлення для браузера.

Такі веб-ін’єкції профілюють відвідувачів сайтів через TDS і відбирають потенційних кандидатів для зараження, ґрунтуючись на їхньому місцезнаходженні, даних про пристрій і ОС, а також типі браузера.

FrigidStealer написаний на Go і створений з використанням фреймворку WailsIO, щоб установник виглядав легітимним і не викликав зайвих підозр. У зараженій системі малварь витягує збережені файли cookie, облікові дані та паролі, що зберігаються в Safari або Chrome.

Також шкідник шукає дані криптогаманців, які можуть зберігатися в папках Desktop і Documents, зчитує і витягує Apple Notes, що містять паролі, фінансову інформацію та інші конфіденційні дані, а також збирає документи, таблиці та текстові файли з домашньої директорії користувача.

Зрештою викрадені дані збираються в прихованій папці в домашній директорії користувача, стискаються і передаються на керуючий сервер зловмисників, розташований за адресою askforupdate[.]org.