行業新聞與部落格

人們認為 Apple 裝置不受惡意軟體侵害的日子已經結束，因為新的惡意活動現在瞄準了 macOS。

在 2 月 18 日的一份新報告中，Proofpoint 發現了一個針對 macOS 的全新資訊竊取程式——FrigidStealer。

該惡意軟體部署在涉及 TA569 的活動中，TA569 是一個多產的威脅行為者，主要以部署網站注入而出名，從而導致名為 FakeUpdates/SocGholish 的 JavaScript 負載。

Proofpoint 還發現了兩個與 TA569 相關的新群體，即 TA2726 和 TA2727。

TA569 的進化

TA569，也稱為 Mustard Tempest Gold Prelude 和 Purple Vallhund，與網路犯罪集團 EvilCorp 有關，於 2022 年首次被發現。

該組織主要使用惡意廣告作為其獲取網路訪問許可權和分析網路的主要技術。

通常，它會部署偽裝成瀏覽器更新或軟體包的 FakeUpdates/SocGholish，以誘使目標下載包含 JavaScript 檔案的 ZIP 檔案。一旦執行，JavaScript 框架就會充當其他惡意軟體活動的載入器，通常是 Cobalt Strike 有效載荷——這種方法被稱為 Web 注入活動。

Proofpoint 表示，TA569 在安全社群內幾乎成了“虛假更新”的代名詞。

Proofpoint 研究人員指出：“但從 2023 年開始，出現了多個模仿者，他們使用相同的網路注入和流量重定向技術來傳播惡意軟體。”

此外，雖然 TA569 以管理整個攻擊鏈而聞名，但現在威脅行為者越來越多地進行合作，每個團體負責其中的一部分。

兩個新的合作威脅行為者的出現

部署類似網路注入活動的兩個組織是 TA2726 和 TA2727，Proofpoint 評估它們是新的威脅行為者。

值得注意的是，最近發現 TA2727 為 Mac 電腦提供了一種新的資訊竊取程式，同時還為 Windows 和 Android 主機提供了惡意軟體。Proofpoint 研究人員將此 macOS 惡意軟體命名為 FrigidStealer。 

Proofpoint 高度確信 TA2726 是 TA569 和 TA2727 的流量分發服務 (TDS) 提供商，一些之前歸因於 TA569 的活動現在重新歸因於 TA2726 和 TA2727。

該公司還以中等信心評估，TA2727 購買線上論壇流量來傳播惡意軟體，這些惡意軟體可能是其自己的或其潛在客戶的。 

FrigidStealer 分發活動內部

到 2025 年為止，Proofpoint 已觀察到使用 TA2726 TDS 將流量重定向到 TA569（在北美），同時將大多數其他國家重定向到 TA2727，在 Windows 平臺上提供 Lumma Stealer 和 DeerStealer，在 Mac 裝置上提供 FrigidStealer，在 Android 上提供 Marcher。

FrigidStealer 攻擊活動於 2025 年 1 月被發現。其目標是北美以外的 Mac 使用者。

當目標透過網路瀏覽器訪問受感染的網站時，他們會被重定向到一個虛假的更新頁面，如果點選“更新”按鈕，就會下載並安裝 FrigidStealer。Proofpoint 研究人員將此惡意軟體命名為 FrigidStealer。 

本文圖片是使用 Shutterstock AI 影象生成器生成的。