Il recente allarme lanciato dai ricercatori di sicurezza informatica riguarda una nuova campagna malevola che utilizza iniezioni web per diffondere il malware FrigidStealer su macOS. Questo malware è stato attribuito a un attore di minacce precedentemente sconosciuto, identificato come TA2727. Questo gruppo si è distinto anche per la distribuzione di altri malware su piattaforme come Windows, attraverso strumenti come Lumma Stealer e DeerStealer, e su Android con il trojan Marcher.

Distribuzione e tecniche di inganno

TA2727 è noto per utilizzare inganni basati su falsi aggiornamenti per diffondere vari programmi malevoli. Questa attività si integra con altre operazioni di distribuzione del traffico, come quella di TA2726, che gestisce sistemi di distribuzione del traffico per conto di altri attori di minacce, tra cui TA2727 e TA569. Quest'ultimo è noto per distribuire il loader di malware SocGholish, spesso camuffato da aggiornamento del browser su siti legittimi ma compromessi.

Le tecniche di TA2727 si differenziano per l'uso di catene di attacco che servono payload diversi in base alla geolocalizzazione o al dispositivo dell’utente. Ad esempio, un utente che visita un sito infetto dalla Francia o dal Regno Unito su un computer Windows potrebbe essere indirizzato a scaricare un file installer MSI che esegue il loader Hijack Loader, successivamente caricando Lumma Stealer. Su dispositivi Android, invece, la stessa reindirizzazione porta all'installazione del trojan bancario Marcher.

Targeting e impatto su macOS

A partire da gennaio 2025, questa campagna è stata aggiornata per prendere di mira anche gli utenti macOS al di fuori del Nord America, scaricando il nuovo stealer FrigidStealer. Questo malware, come molti altri su macOS, richiede che l'utente lanci esplicitamente l'app non firmata per bypassare le protezioni di Gatekeeper, eseguendo poi un eseguibile Mach-O che installa il malware. FrigidStealer raccoglie dati sensibili da browser web, app di note e applicazioni legate alle criptovalute, sfruttando AppleScript per richiedere all'utente di inserire la password del sistema, ottenendo così privilegi elevati.

Contesto e minacce emergenti

La minaccia si inserisce in un contesto di attacchi sempre più sofisticati e mirati, come dimostrato anche dalla recente scoperta del backdoor macOS Tiny FUD e di nuovi stealer come Astral Stealer e Flesh Stealer. Quest'ultimo è particolarmente efficace nel rilevare ambienti virtuali, evitando di eseguire il codice su macchine virtuali per eludere eventuali analisi forensi.