Los investigadores de ciberseguridad están alertando a una nueva campaña que aprovecha los inyecciones web para ofrecer un nuevo malware Apple MacOS conocido como Verde azulado.
La actividad se ha atribuido a un actor de amenaza previamente indocumentado conocido como TA2727, con los robos de información para otras plataformas como Windows (Lumma Stealer o Deerstealer) y Android (Marcher).
TA2727 es un “actor de amenazas que utiliza señuelos temáticos de modernización falsa para distribuir una variedad de cargas avíos de malware”, dijo el equipo de investigación de amenazas de PROASPPOINT en un mensaje compartido con Hacker News.
Es uno de los grupos de actividades de amenazas recientemente identificados unido con TA2726, que se evalúa como un cámara del Sistema de Distribución de Tráfico Sagaz (TDS) que facilita la distribución del tráfico para que otros actores de amenazas entreguen malware. Se cree que el actor de amenaza de motivación financiera es activo desde al menos septiembre de 2022.
TA2726, según la firma de seguridad empresarial, actúa como TDS para TA2727 y otro actor de amenaza llamado TA569, que es responsable de la distribución de un malware de cargador basado en JavaScript conocido como Socgholish (todavía conocido como FakeUpdates) que a menudo se fundamento como una modernización de navegador en Sitios legítimos pero comprometidos.
“TA2726 tiene motivación financiera y trabaja con otros actores de motivación financiera como TA569 y TA2727”, señaló la compañía. “Es sostener, este actor es probablemente responsable del servidor web o los compromisos del sitio web que conducen a inyecciones operadas por otros actores de amenazas”.
Tanto TA569 como TA2727 comparten algunas similitudes en el sentido de que se distribuyen a través de sitios web comprometidos con el sitio web de JavaScript bellaco inyecta que imita las actualizaciones del navegador para navegadores web como Google Chrome o Microsoft Edge. Donde TA2727 difiere es el uso de cadenas de ataque que sirven diferentes cargas avíos en función de la geogonia o el dispositivo de los destinatarios.
Si un beneficiario reconocimiento un sitio web infectado en Francia o en el Reino Unido en una computadora de Windows, se les pide que descargue un archivo de instalador MSI que inicie Hijack Loader (todavía conocido como Doiloader), que, a su vez, carga el robador de lumma.
Por otro costado, la misma modernización falsa redirige cuando se lo reconocimiento desde un dispositivo Android conduce a la implementación de un troyano bancario llamado Marcher que se ha detectado en la naturaleza durante más de una división.
Eso no es todo. A partir de enero de 2025, la campaña se ha actualizado a los usuarios de MacOS de Target que residen fuera de Norteamérica a una página de modernización falsa que descargó un nuevo robador de información con nombre en código FrigidStealer.
El instalador FrigidSealer, como otro malware MacOS, requiere que los usuarios inicien explícitamente la aplicación sin firmar para evitar las protecciones de Gatekeeper, a posteriori de lo cual se ejecuta un ejecutable de Mach-O integrado para instalar el malware.
“El ejecutable fue escrito en GO y fue firmado ad-hoc”, dijo Proofpoint. “El ejecutable fue construido con el tesina Wailsio, que hace que el contenido del navegador del beneficiario. Esto se suma a la ingeniería social de la víctima, lo que implica que el instalador de Chrome o Safari era cierto”.
Frigidstealer no es diferente de varias familias de Stealer dirigidas a los sistemas MacOS. Aprovecha a Applecript para pedirle al beneficiario que ingrese la contraseña de su sistema, lo que le da privilegios elevados para cosechar archivos y todo tipo de información confidencial de navegadores web, notas de Apple y aplicaciones relacionadas con las criptomonedas.
“Los actores están utilizando compromisos web para entregar malware dirigido a usuarios empresariales y de consumo”, dijo la compañía. “Es arreglado que dichos inyecciones web entreguen malware personalizado al destinatario, incluidos los usuarios de Mac, que aún son menos comunes en entornos empresariales que en Windows”.
El explicación se produce cuando TonMoy Jitu de Denwp Research reveló detalles de otra puerta trasera de MacOS totalmente indetectable convocatoria Tiny FUD que aprovecha la manipulación de nombre, la inyección dinámica de demonio de enlace (DYLD) y la ejecución de comandos basado en el comando y control (C2).
Además sigue la aparición de un nuevo malware de robador de información como Astral Steler y Flesh Stealer, que están diseñados para resumir información confidencial, evitar la detección y prolongar la persistencia en los sistemas comprometidos.
“El robador de carne es particularmente efectivo para detectar entornos de máquina imaginario (VM)”, dijo Flashpoint en un mensaje nuevo. “Evitará ejecutar en las máquinas virtuales para evitar cualquier posible estudio forense, mostrando una comprensión de las prácticas de investigación de seguridad”.
