Wazuh
安全專家發現,一隻名為FrigidStealer的竊密程式冒充Safari更新散布,竊取Mac電腦用戶密碼、虛擬貨幣錢包憑證等敏感資料。
FrigidStealer是在今年初首次現蹤,當時是由代號TA2727的駭客組織,使用代號TA2726的組織所運作的惡意流量散布系統(traffic distribution system,TDS)散布竊密程式。資安廠商Proofpoint研究人員指出,TA2727和另一個組織TA569(又名 Mustard Tempest Gold Prelude、Purple Vallhund)都是由TA2726服務,它們合作以JavaScript 注入程式注入網站中,冒充瀏覽器更新散布,而FrigidStealer則專門鎖定Mac用戶。
最新的FrigidStealer攻擊活動是由資安廠商Wazuh發現,稱攻擊活動來自EvilCorp。EvioCorp目標涵括消費用戶和企業,竊取用戶或加密貨幣錢包憑證資料,造成身份竊取或財物詐騙。EvilCorp和前述的TA569關係密切。
這家廠商研究人員說明,FrigidStealer最早可追溯到2025年1月,它專門鎖定macOS電腦進行金錢為目標的攻擊。它冒充Safari瀏覽器更新程式,誘使用戶下載磁碟映像檔(disk image file, DMG)。下載該程式需要用戶手動在AppleScript程式中輸入密碼,這可繞過macOS內建防毒工具Gatekeeper。一旦安裝完成,FrigidStealer就會在Mac電腦上蒐尋敏感資料,並連向外部C2(command-and-controller)伺服器,經由DNS通道外洩資料。
FrigidStealer是利用社交工程及高明手法竊取敏感資料,研究人員提醒用戶提高警覺,時時留意系統是否有異常活動,並安裝安全工具。
熱門新聞
2025-06-09
2025-06-09
2025-06-10
2025-06-09
2025-06-09
2025-06-09
