行业新闻与博客

人们认为 Apple 设备不受恶意软件侵害的日子已经结束，因为新的恶意活动现在瞄准了 macOS。

在 2 月 18 日的一份新报告中，Proofpoint 发现了一个针对 macOS 的全新信息窃取程序——FrigidStealer。

该恶意软件部署在涉及 TA569 的活动中，TA569 是一个多产的威胁行为者，主要以部署网站注入而出名，从而导致名为 FakeUpdates/SocGholish 的 JavaScript 负载。

Proofpoint 还发现了两个与 TA569 相关的新群体，即 TA2726 和 TA2727。

TA569 的进化

TA569，也称为 Mustard Tempest Gold Prelude 和 Purple Vallhund，与网络犯罪集团 EvilCorp 有关，于 2022 年首次被发现。

该组织主要使用恶意广告作为其获取网络访问权限和分析网络的主要技术。

通常，它会部署伪装成浏览器更新或软件包的 FakeUpdates/SocGholish，以诱使目标下载包含 JavaScript 文件的 ZIP 文件。一旦执行，JavaScript 框架就会充当其他恶意软件活动的加载器，通常是 Cobalt Strike 有效载荷——这种方法被称为 Web 注入活动。

Proofpoint 表示，TA569 在安全社区内几乎成了“虚假更新”的代名词。

Proofpoint 研究人员指出：“但从 2023 年开始，出现了多个模仿者，他们使用相同的网络注入和流量重定向技术来传播恶意软件。”

此外，虽然 TA569 以管理整个攻击链而闻名，但现在威胁行为者越来越多地进行合作，每个团体负责其中的一部分。

两个新的合作威胁行为者的出现

部署类似网络注入活动的两个组织是 TA2726 和 TA2727，Proofpoint 评估它们是新的威胁行为者。

值得注意的是，最近发现 TA2727 为 Mac 电脑提供了一种新的信息窃取程序，同时还为 Windows 和 Android 主机提供了恶意软件。Proofpoint 研究人员将此 macOS 恶意软件命名为 FrigidStealer。 

Proofpoint 高度确信 TA2726 是 TA569 和 TA2727 的流量分发服务 (TDS) 提供商，一些之前归因于 TA569 的活动现在重新归因于 TA2726 和 TA2727。

该公司还以中等信心评估，TA2727 购买在线论坛流量来传播恶意软件，这些恶意软件可能是其自己的或其潜在客户的。 

FrigidStealer 分发活动内部

到 2025 年为止，Proofpoint 已观察到使用 TA2726 TDS 将流量重定向到 TA569（在北美），同时将大多数其他国家重定向到 TA2727，在 Windows 平台上提供 Lumma Stealer 和 DeerStealer，在 Mac 设备上提供 FrigidStealer，在 Android 上提供 Marcher。

FrigidStealer 攻击活动于 2025 年 1 月被发现。其目标是北美以外的 Mac 用户。

当目标通过网络浏览器访问受感染的网站时，他们会被重定向到一个虚假的更新页面，如果点击“更新”按钮，就会下载并安装 FrigidStealer。Proofpoint 研究人员将此恶意软件命名为 FrigidStealer。 

本文图片是使用 Shutterstock AI 图像生成器生成的。