FakeUpdate kötü amaçlı yazılım kampanyaları giderek daha karışık hale geliyor, iki ek siber suç grubu TA2726 ve TA2727 olarak izlendi ve Frigidstealer adlı yeni bir macOS Infostealer Malware’i zorlayan kampanyalar yürütüyor.
Yeni kötü amaçlı yazılım Mac kullanıcılarına teslim edilir, ancak aynı kampanya geniş bir hedef yelpazesini kapsamak için Windows ve Android yüklerini de kullanır.
Yeni kampanya, sahte tarayıcı güncelleme mesajlarını görüntülemek için kötü amaçlı JavaScript’in artan sayıda tehdit aktör tarafından benimsendiğini belirten Proofpoint’teki araştırmacılar tarafından keşfedildi.
Bu kampanyada TA2726 ve TA2727 birlikte çalışır, birincisi trafik distribütörü ve kolaylaştırıcı ve ikincisi kötü amaçlı yazılım distribütörü olarak görev yapar.
TA2726, en az Eylül 2022’den beri diğer siber suçlulara trafik satmaktadır. Genellikle yaygın olarak istismar edilen meşru trafik dağıtım hizmeti olan Keitaro TDS’den yararlanır.
TA2727, ilk olarak Ocak 2025’te tanımlanan finansal olarak motive olmuş bir tehdit grubudur ve Windows için Lumma Stealer, Android için Marcher ve MacOS için Frigidstealer’ı kullanır.
Yeni sahte güncelleme kampanyası
FakeUpdate kampanyaları, tehdit aktörlerinin web sitelerini ihlal ettiği ve kullanıcının bir tarayıcı güncellemesi yüklemek için ihtiyaç duyduğu sahte bildirimleri görüntüleyen Web sayfalarının HTML’sine kötü niyetli JavaScript enjekte ettiğinde olur.
Bu web, profil web sitesi ziyaretçilerini bir TDS (trafik dağıtım sistemi) aracılığıyla enjekte eder ve kurbanları konum, cihaz ve işletim sistemi ve tarayıcı türlerine göre nitelendirir.
Kullanıcının bakış açısından, uyarı Google veya Safari’den geliyor ve siteyi görüntülemek için bir tarayıcı güncellemesinin yüklenmesi gerektiğini belirtiyor. Ancak, “Güncelleme” düğmesini tıklamak, bir güncelleme olarak gizlenen kötü amaçlı yürütülebilir bir şekilde indirilecek.
Kaynak: Proofpoint
Windows kullanıcıları Lumma Stealer veya DeerStealer’ı yükleyen bir MSI yükleyicisi alır, Mac kullanıcıları yeni Frigidstealer kötü amaçlı yazılımları yükleyen bir DMG dosyası alır ve Android kullanıcıları Marcher Banking Trojan’ı içeren bir APK dosyası alırlar.
Mac kullanıcıları, dosyaya sağ tıklayarak ve ardından MacOS Gatekeeper Korumalarını geçmek için şifrelerini girmeleri istenecekleri açık seçerek indirmeyi manuel olarak başlatmalıdır.
Kaynak: Proofpoint
Frigidstealer MacOS hedefleyen
Frigidstealer, yükleyicinin meşru görünmesini sağlamak için Wailsio çerçevesi ile inşa edilmiş Go tabanlı bir kötü amaçlı yazılımdır, böylece enfeksiyon sırasında hiçbir şüphe arttırılmamalıdır.
Kötü amaçlı yazılım çıkartmaları, kaydedilmiş çerezleri, giriş bilgilerini ve macOS’ta Safari veya Chrome’da saklanan şifre ile ilgili dosyalar.
Ayrıca, MacOS masaüstünde depolanan kripto cüzdan kimlik bilgilerini tarar ve belgeler klasörleri, parola, finansal bilgiler veya diğer hassas ayrıntıları içeren Apple notlarını okur ve çıkarır ve kullanıcının ana dizininden belgeler, elektronik tablolar ve metin dosyalarını toplar.
Kaynak: Proofpoint
Çalınan veriler, kullanıcının ana dizininde gizli bir klasöre paketlenir, sıkıştırılır ve sonunda ‘AskForUpdate’ adresindeki kötü amaçlı yazılım ve kontrol (C2) adresine eksfiltratlanır.[.]org. ‘
Infostealer kampanyaları, son birkaç yıldır büyük bir küresel operasyon haline geldi ve hem ev kullanıcıları hem de kuruluşlara yıkıcı saldırılara yol açtı.
Bu saldırılar genellikle finansal sahtekarlık, gizlilik riskleri, veri ihlalleri, gasp talepleri ve tam gelişmiş fidye yazılımı saldırılarına yol açar.
Infostealer enfeksiyonlarından anlaşılmak için, özellikle düzeltmeler, güncellemeler veya captchas gibi davranan web siteleri tarafından istenen herhangi bir komut veya indirme yürütmeyin.
Infostealers ile enfekte olanlar için, özellikle aynı şifreyi birden fazla sitede kullanıyorsanız, bir hesabınız olan her sitedeki şifreleri değiştirmeniz gerekir.