As campanhas de malware FakeUpdate estão se tornando cada vez mais complexas, com a adição de dois grupos de cibercriminosos conhecidos como TA2726 e TA2727, que promovem uma nova infostealer de macOS chamada FrigidStealer.
O novo malware é entregue a usuários de Mac, mas a mesma campanha também utiliza payloads para Windows e Android, abrangendo uma ampla gama de alvos.
A nova campanha foi descoberta por pesquisadores da Proofpoint, que observaram que um número crescente de atores de ameaças está adotando JavaScript malicioso para exibir mensagens falsas de atualização do navegador, tornando o rastreamento e a análise cada vez mais complicados.
Nessa campanha, TA2726 e TA2727 trabalham juntos, sendo o primeiro como distribuidor de tráfego e facilitador, e o segundo como distribuidor de malware.
O TA2726 está ativo desde pelo menos setembro de 2022, vendendo tráfego para outros cibercriminosos.
O grupo frequentemente aproveita o Keitaro TDS, um serviço legítimo de distribuição de tráfego amplamente abusado.
O TA2727 é um grupo de ameaça com motivação financeira, identificado pela primeira vez em janeiro de 2025, que implanta o Lumma Stealer para Windows, Marcher para Android e FrigidStealer para macOS.
As campanhas FakeUpdate ocorrem quando atores de ameaças comprometem sites e injetam JavaScript malicioso no HTML das páginas da web que exibem notificações falsas de que o usuário precisa instalar uma atualização do navegador.
Essas injeções de web perfilam os visitantes do site por meio de um TDS (Traffic Distribution System) e qualificam vítimas para infecção com base em sua localização, dispositivo e sistema operacional, e tipo de navegador.
Do ponto de vista do usuário, o alerta parece vir do Google ou Safari, informando que uma atualização do navegador precisa ser instalada para visualizar o site.
No entanto, clicar no botão "Atualizar" faz com que um executável malicioso disfarçado de atualização seja baixado.
Usuários de Windows recebem um instalador MSI que carrega o Lumma Stealer ou DeerStealer, usuários de Mac recebem um arquivo DMG que instala o novo malware FrigidStealer, e usuários de Android recebem um arquivo APK que contém o trojan bancário Marcher.
Usuários de Mac devem iniciar manualmente o download clicando com o botão direito no arquivo e selecionando Abrir, onde será solicitado que digitem sua senha para passar pelas proteções do macOS Gatekeeper.
O FrigidStealer é um malware baseado em Go, construído com o framework WailsIO para fazer o instalador parecer legítimo, de modo que nenhuma suspeita seja levantada durante a infecção.
O malware extrai cookies salvos, credenciais de login e arquivos relacionados a senhas armazenados no Safari ou Chrome no macOS.
Além disso, ele verifica as credenciais de carteiras de criptomoedas armazenadas nas pastas Desktop e Documentos do MacOS, lê e extrai Apple Notes contendo senhas, informações financeiras ou outros detalhes sensíveis, e coleta documentos, planilhas e arquivos de texto do diretório principal do usuário.
Os dados roubados são agrupados em uma pasta oculta no diretório principal do usuário, comprimidos e eventualmente exfiltrados para o endereço de comando e controle (C2) do malware em 'askforupdate[.]org'.
As campanhas de infostealer tornaram-se uma operação global massiva nos últimos anos, levando a ataques devastadores tanto em usuários domésticos quanto em organizações.
Esses ataques comumente levam a fraudes financeiras, riscos à privacidade, violações de dados, demandas de extorsão e ataques completos de ransomware.
Para se manter livre de infecções por infostealers, nunca execute comandos ou downloads solicitados por sites, especialmente aqueles que fingem ser correções, atualizações ou captchas.
Para aqueles que são infectados por infostealers, é necessário alterar as senhas em todos os sites em que você possui uma conta, especialmente se você usa a mesma senha em vários sites.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...