FrigidStealer kötü amaçlı yazılım, MacOS kullanıcılarını sahte tarayıcı güncellemeleri, şifreleri çalma, kripto cüzdanları ve DNS tabanlı veri hırsızlığı yöntemlerini kullanarak notları hedefler.
FrigidStealer olarak bilinen bilinen bir macOS kötü amaçlı yazılım suşu, sahte tarayıcı güncelleme istemlerini ikna ederek Apple kullanıcılarını hedefliyor. İlk olarak Şubat 2025’te tespit edilen ve Hackread.com tarafından bildirilen bu varyant, Ferret kötü amaçlı yazılım ailesinin bir parçasıdır ve Kuzey Amerika, Avrupa ve Asya’daki kullanıcıları zaten etkiledi.
Kötü amaçlı yazılım suşu, her ikisi de sahte tarayıcı güncellemelerini bir saldırı vektörü olarak kullandığı bilinen TA2726 ve TA2727 ile bağlantılıdır. Ayrıca, kamuoyuna dönük endüstrilerdeki enfeksiyonlarda, özellikle perakende ve misafirperverliğe de bağlıdır.
Kötü amaçlı yazılım, kullanıcıları bir Safari güncellemesi olarak gizlenmiş bir disk görüntü dosyası (DMG) indirmeleri için kandırarak çalışır. Dosya yüklendikten sonra, kullanıcının şifrelerini girmesini isteyerek yerleşik elma metni işlevselliğini kullanarak Apple’ın bekçi koruyucusunu atlar. Kötü amaçlı yazılım daha sonra paket kimliğiyle kötü amaçlı bir uygulama yükler com.wails.ddaolimaki-daunitomeşru uygulamalarla karışmasına yardımcı olur.
Etkin olduktan sonra, frigidstealer tarayıcı kimlik bilgileri, sistem dosyaları, kripto para birimi cüzdan bilgileri ve hatta Apple notları dahil olmak üzere hassas verileri toplamaya başlar. Bu veriler daha sonra MacOS’un MDNSResponder aracılığıyla yönlendirilen DNS sorguları aracılığıyla bir komut ve kontrol sunucusuna eklenir. Verileri çaldıktan ve gönderdikten sonra, kötü amaçlı yazılım, algılama şansını azaltmak için kendi sürecini sonlandırır.
Frigidstealer’ı tanımlayan ve teknik raporunu hackread.com ile paylaşan açık kaynaklı bir siber güvenlik firması olan Wazuh’a göre, bu kötü amaçlı yazılımın geleneksel istismar kitlerine veya güvenlik açıklarına dayanmadığını belirtti. Bunun yerine, Sistem Bildirimlerine ve Tarayıcı Güncelleme istemlerine kullanıcı güveninden yararlanır. Bu yaklaşım, hala son derece etkili olurken saldırganın daha az teknik sofistike olmasını gerektirdiğinden, daha tehlikeli hale getirir.
Frigidstealer’ı birbirinden ayıran şey, macOS’a özgü davranışların kalıcı kalmasıdır. Kendisini ön plan uygulaması olarak kaydeder. launchservicesdyetkisiz Apple olayları iletişimi yoluyla sistemle etkileşime girer ve yürütme sonrası kendi izlerini siler. Apple’ın Birleşik Günlük Sistemi’nden (ULS) günlükler, kötü amaçlı yazılımın gizli kalmak için meşru süreç adlarını ve hizmetlerini kullandığını gösterir.
MacOS’taysanız, saldırganların insanları nasıl kandırdıkları konusunda daha akıllı olduklarını unutmayın. Akıllı dolandırıcıları, sistemin standart güvenliği gizlemek için nasıl çalıştığına dair bilgiyle birleştiriyorlar. Koruma yerinde olsa bile, saldırının ilk adımı genellikle bir bağlantıyı tıklayan veya sahte bir güncelleme istemine güvenen birine iner.
Bu nedenle, kullanıcıların beklenmedik istemlerden veya üçüncü taraf sitelerden yazılım güncellemeleri yüklemekten kaçınmaları istenir. Güncellemeler her zaman doğrudan Mac App Store veya sistemin kendi yazılım güncelleme aracı gibi resmi kaynaklardan gelmelidir.