行業新聞與博客

人們認為 Apple 設備不受惡意軟件侵害的日子已經結束，因為新的惡意活動現在瞄準了 macOS。

在 2 月 18 日的一份新報告中，Proofpoint 發現了一個針對 macOS 的全新信息竊取程序——FrigidStealer。

該惡意軟件部署在涉及 TA569 的活動中，TA569 是一個多產的威脅行為者，主要以部署網站注入而出名，從而導致名為 FakeUpdates/SocGholish 的 JavaScript 負載。

Proofpoint 還發現了兩個與 TA569 相關的新羣體，即 TA2726 和 TA2727。

TA569 的進化

TA569，也稱為 Mustard Tempest Gold Prelude 和 Purple Vallhund，與網絡犯罪集團 EvilCorp 有關，於 2022 年首次被發現。

該組織主要使用惡意廣告作為其獲取網絡訪問權限和分析網絡的主要技術。

通常，它會部署偽裝成瀏覽器更新或軟件包的 FakeUpdates/SocGholish，以誘使目標下載包含 JavaScript 文件的 ZIP 文件。一旦執行，JavaScript 框架就會充當其他惡意軟件活動的加載器，通常是 Cobalt Strike 有效載荷——這種方法被稱為 Web 注入活動。

Proofpoint 表示，TA569 在安全社區內幾乎成了“虛假更新”的代名詞。

Proofpoint 研究人員指出：“但從 2023 年開始，出現了多個模仿者，他們使用相同的網絡注入和流量重定向技術來傳播惡意軟件。”

此外，雖然 TA569 以管理整個攻擊鏈而聞名，但現在威脅行為者越來越多地進行合作，每個團體負責其中的一部分。

兩個新的合作威脅行為者的出現

部署類似網絡注入活動的兩個組織是 TA2726 和 TA2727，Proofpoint 評估它們是新的威脅行為者。

值得注意的是，最近發現 TA2727 為 Mac 電腦提供了一種新的信息竊取程序，同時還為 Windows 和 Android 主機提供了惡意軟件。Proofpoint 研究人員將此 macOS 惡意軟件命名為 FrigidStealer。 

Proofpoint 高度確信 TA2726 是 TA569 和 TA2727 的流量分發服務 (TDS) 提供商，一些之前歸因於 TA569 的活動現在重新歸因於 TA2726 和 TA2727。

該公司還以中等信心評估，TA2727 購買在線論壇流量來傳播惡意軟件，這些惡意軟件可能是其自己的或其潛在客户的。 

FrigidStealer 分發活動內部

到 2025 年為止，Proofpoint 已觀察到使用 TA2726 TDS 將流量重定向到 TA569（在北美），同時將大多數其他國家重定向到 TA2727，在 Windows 平台上提供 Lumma Stealer 和 DeerStealer，在 Mac 設備上提供 FrigidStealer，在 Android 上提供 Marcher。

FrigidStealer 攻擊活動於 2025 年 1 月被發現。其目標是北美以外的 Mac 用户。

當目標通過網絡瀏覽器訪問受感染的網站時，他們會被重定向到一個虛假的更新頁面，如果點擊“更新”按鈕，就會下載並安裝 FrigidStealer。Proofpoint 研究人員將此惡意軟件命名為 FrigidStealer。 

本文圖片是使用 Shutterstock AI 圖像生成器生成的。