Las campañas de software malicioso de FakeUpdate son cada vez más y más, con dos grupos cibercriminales adicionales seguidos como TA2726 y TA2727, liderando campañas que empujan a los nuevos infostelladores de MacOS llamados FrigidStealer.
El nuevo malware llega a los usuarios de Mac, pero la misma campaña también utiliza cargas útiles de Windows y Android para cubrir una amplia gama de objetivos.
La nueva campaña fue Descubierto por investigadores de pruebaLa OMS señala que JavaScript malicioso para mostrar los mensajes falsos de actualización del navegador es adoptada por un número creciente de actores de amenazas, haciendo que el monitoreo y el análisis sean cada vez más delicados.
En esta campaña, TA2726 y TA2727 trabajan juntos, la primera actuando como distribuidor y facilitador de tráfico y el segundo como dispensador de malware.
TA2726 ha estado activo desde al menos septiembre de 2022, vendiendo tráfico a otros cibercriminales. A menudo opera Keitaro TDS, un servicio de distribución de tráfico legítimo en gran parte abusado.
TA2727 es un grupo de amenazas de motivación financiera identificadas por primera vez en enero de 2025, despliegue de Lumma Stealer para Windows, caminando para Android y Frigidstealer para MacOS.
Nueva campaña de actualización falsa
Las campañas FakeUpdate son cuando los actores de amenaza cruzan sitios web e inyectan JavaScript malicioso en el HTML de las páginas web que muestran notificaciones falsas que el usuario necesita para instalar una actualización del navegador.
Estos visitantes del sitio web de perfil a través de un TDS (sistema de distribución de tráfico) y califican a las víctimas de la infección de acuerdo con su ubicación, su dispositivo y su sistema operativo y su tipo de navegador.
Desde el punto de vista del usuario, la alerta parece provenir de Google o Safari, lo que indica que se debe instalar una actualización del navegador para mostrar el sitio. Sin embargo, haga clic en el botón “Actualizar” a la descarga de un ejecutable malicioso disfrazado de actualización.
Fuente: Punto de evidencia
Los usuarios de Windows obtienen un programa de instalación de MSI que carga Lummma Stealer o Defaler, los usuarios de Mac reciben un archivo DMG que instala el nuevo software Malveillant FrigidStealer y los usuarios de Android reciben un archivo APK que contiene el troyano de banca comercial.
Los usuarios de Mac deben iniciar manualmente la descarga de clic en el archivo en el archivo, luego seleccionar Abrir, donde se les invitará a ingresar su contraseña para pasar las protecciones de Gatekeeper MacOS.
Fuente: Punto de evidencia
Frigidstealer dirigido a macOS
Frigidstealer es un software basado en malware construido con el marco Waulsio para hacer que el instalador sea legítimo para que no se planteen sospechas durante la infección.
Malventy Software extrae cookies, información de conexión y archivos relacionados con la contraseña almacenada en Safari o Chrome en MacOS.
Además, analiza la información de identificación de la cartera criptográfica almacenada en los archivos de la oficina de MacOS y documentos, el lecho y el extracto de las notas de Apple que contienen contraseñas, información financiera u otros detalles confidenciales, y recopila documentos, hojas de cálculo y archivos de texto de la personal directorio de usuarios.
Fuente: Punto de evidencia
Los datos robados se agrupan en un archivo oculto en el directorio de usuario personal, comprimido y, en última instancia, exfiltrado a la dirección de control y control de malware (C2) a `AskForUpdate[.]org. ‘
Las campañas de InfoTealer se han convertido en una operación global masiva en los últimos años, lo que lleva a ataques devastadores contra usuarios y organizaciones en el hogar.
Estos ataques generalmente conducen a fraude financiero, riesgo de confidencialidad, violaciones de datos, solicitudes de extorsión y ataques de ransomware completos.
Para mantenerse alejado de las infecciones infostales, nunca realice órdenes o descargas causadas por sitios web, en particular aquellos que afirman ser correcciones, actualizaciones o captchas.
Para aquellos que están infectados con infositistas, debe modificar las contraseñas en cada sitio que tiene una cuenta, especialmente si usa la misma contraseña en varios sitios.