Киберпреступники все чаще используют поддельные обновления программ, чтобы заразить устройства вредоносным ПО. Теперь под прицелом оказались владельцы Mac — исследователи выявили новый вирус FrigidStealer, распространяемый через фальшивые обновления браузера.
Специалисты по кибербезопасности отмечают, что злоумышленники активно встраивают вредоносные скрипты в веб-страницы для распространения вируса. Они создают поддельные уведомления об обновлении браузера, обманывая пользователей и заставляя их скачать заражённые файлы.
Ранее подобные атаки активно применялись с использованием платформы SocGholish — платформу, используемую для внедрения вредоносных скриптов на взломанные сайты. Эти скрипты отображают фальшивые уведомления об обновлении браузера, убеждая пользователей загрузить заражённые файлы, что нередко приводило к атакам с использованием программ-вымогателей. Однако с 2023 года появилось больше злоумышленников, использующих схожие методы атак, что усложнило их отслеживание. По данным компании Proofpoint, злоумышленники используют схожие тактики, из-за чего различать их атаки становится всё сложнее.
Как работает вирус FrigidStealer?
FrigidStealer — это программа для кражи данных, созданная специально для macOS. Она распространяется через взломанные сайты, которые выводят поддельные уведомления о необходимости обновления браузера. Если пользователь Mac нажимает кнопку «Обновить», он загружает заражённый DMG-файл — это формат установочных файлов для macOS, аналогичный EXE в Windows.
После установки FrigidStealer использует AppleScript и osascript для сбора личных данных: файлов cookie из браузеров, информации, связанной с криптовалютами, а также заметок из Apple Notes. Хотя зашифрованные заметки остаются защищёнными, любые открытые записи или файлы, хранящиеся на рабочем столе или в папке «Документы», могут попасть в руки злоумышленников. Затем вся собранная информация отправляется на сервер по адресу askforupdate[.]org.
Процесс заражения начинается с посещения скомпрометированного сайта, на который пользователь может попасть через фишинговые ссылки, заражённые рекламные объявления или взломанные легитимные веб-ресурсы. Киберпреступники используют систему перенаправления трафика (TDS) — механизм, который анализирует данные о пользователе (IP-адрес, устройство, браузер) и перенаправляет его на определённые сайты в зависимости от этих параметров. В данном случае жертва оказывается на вредоносной странице с поддельным обновлением. В зависимости от устройства и браузера пользователя, ему показывается поддельное обновление, замаскированное под официальный апдейт Google Chrome или Safari.
Если пользователь нажимает «Обновить», загружается заражённый DMG-файл. При установке система запрашивает обход защиты macOS Gatekeeper, после чего запускается вредоносное ПО. FrigidStealer использует технологию WailsIO, чтобы выглядеть как настоящий установщик. Затем он собирает данные и передаёт их на сервер злоумышленников, завершая атаку.
WailsIO — это фреймворк, который позволяет разработчикам создавать нативные настольные приложения с использованием языков программирования Go и JavaScript.
В контексте вируса FrigidStealer WailsIO, используется злоумышленниками для создания поддельного установщика, который выглядит как настоящее приложение. Это помогает маскировать вредоносное ПО и повышает его доверительность в глазах пользователей macOS.
Как защититься от FrigidStealer?
Чтобы не стать жертвой таких атак, важно соблюдать несколько простых правил:
- Не доверяйте всплывающим уведомлениям об обновлениях. Если браузер предлагает обновиться прямо во время просмотра сайта, лучше проигнорировать это и проверить обновления вручную через настройки браузера или официальный сайт.
- Загружайте программы только из проверенных источников. Обновления для браузеров и других приложений следует устанавливать только через встроенные механизмы обновления или с официальных сайтов разработчиков.
- Используйте антивирусное ПО. Современные программы безопасности помогут выявить и заблокировать угрозы до их установки.
Будьте внимательны и осторожны в сети, чтобы защитить свои данные от злоумышленников! Прямо сейчас проверьте настройки безопасности вашего браузера и убедитесь, что все обновления установлены только с официальных источников.
