Proofpoint ontdekt nieuwe MacOS-malware en twee nieuwe cybercriminele actoren

Voorheen was TA569 de meest prominente verspreider van webinjectiecampagnes. Hierbij leidden SocGholish-injecties tot het installeren van malware en vervolgaanvallen met ransomware, zoals neppe browserupdates. Ondanks dat deze dreigingsactor nog steeds prominent is, breidt het dreigingslandschap zich uit met zogenaamde ‘copycat actoren’. Dit zorgt voor meer complexiteit in de tracering en attributie. De onderzoekers vermoeden dat TA2726 en TA569 werken als een verkeersdistributieservice (traffic distribution service, TDS) van verschillende soorten malware payloads, waaronder de onlangs geïdentificeerde MacOS-malware FrigidStealer.

FrigidStealer richt zich, net zoals SocGholish, op neppe browserupdates voor MacOS-gebruikers. Het steelt informatie, richt zich op MacOS en wordt afgeleverd via gecompromitteerde websites door middel van valse updateprompts. FrigidStealer benadrukt de groeiende trend van platform overschrijdende doelwitten in webinjectiecampagnes.

Tactieken evolueren

De reeds geïdentificeerde actoren gebruiken geavanceerde technieken. Voorbeelden hiervan zijn het in gevaar brengen van websites, TDS-omleidingen en het filteren van user agents. Hierbij is het doel het afleveren van op maat gemaakte hardware op basis van geografie en het besturingssysteem. 

Het onderzoek toont aan dat er sprake is van een complex samenspel van samenwerking en concurrentie binnen het webinjectie-ecosysteem. Dit maakt het begrijpen van de relaties tussen deze actoren voor securityprofessionals cruciaal.

Mac-gebruikers lopen groot risico

Voorheen werden Mac-gebruikers vaak gezien als een minder risicovolle gebruikersgroep, vergeleken met Windows-gebruikers. De opkomst van FrigidStealer onderstreept het toenemende risico voor MacOS-gebruikers. Ook onderzoek van SentinelOne benadrukt dat MacOS informatiestelers steeds meer voorkomen.

De toenemende dreiging komt waarschijnlijk doordat organisaties een sterkere verdediging bouwen tegen dreigingen, zoals malware via e-mail en uitbuiting van randapparaten. Dit dwingt dreigingsactoren om zich aan te passen. De campagnes van deze actoren hebben zo’n hoge geloofwaardigheid en nieuwe manier van social engineering dat ze minder snel opvallen. Door regelmatig cybersecurity awareness trainingen te organiseren en de kennis up-to-date te houden, beperken organisaties uitbuiting.