複数ライセンス割引見積
脅威データベース Mac マルウェア FrigidStealer Stealer

FrigidStealer Stealer

Mac マルウェア, スティーラーズMezoまで
翻訳内容:
日本語

サイバーセキュリティ研究者は、Web インジェクションを利用して、これまで特定されていなかった macOS の脅威である FrigidStealer を配布する新しいキャンペーンを発見しました。このキャンペーンは、TA2727 と呼ばれる脅威アクターと関連付けられており、このアクターは Windows (Lumma Stealer、 DeerStealer)や Android ( Marcher ) を標的とした情報窃盗の脅威にも関与しています。

TA2727 と脅威の状況におけるその役割

TA2727 は、偽の更新ルアーを使用してさまざまな悪意のあるペイロードを配布することで知られています。これは、悪意のあるトラフィック配信システム (TDS) を運用していると評価されているアクターである TA2726 とともに、新たに特定された脅威クラスターの 1 つです。このシステムは、侵害された Web トラフィックを TA2727 や TA569 などの脅威アクターに誘導することで、マルウェアの拡散を可能にします。

TA2726 と他の脅威アクターとの関係

TA2726 は、TA2727 と TA569 の両方の TDS として機能することで、マルウェア配布において重要な役割を果たしています。後者は、侵害された Web サイトでブラウザのアップデートを装う JavaScript ベースのローダーである SocGholish (別名 FakeUpdates) を展開することで悪名高いです。少なくとも 2022 年 9 月以降、TA2726 は金銭目的の脅威アクターのトラフィックのリダイレクトを促進しており、サイバー脅威の状況において不可欠な存在となっています。

偽のアップデートと地域をターゲットにしたペイロード

TA2727 と TA569 はどちらも、破損した JavaScript が挿入された Web サイトを通じて脅威を拡散します。これらの侵害されたサイトは、ユーザーを騙して Google Chrome または Microsoft Edge の偽のブラウザ更新をダウンロードさせます。ただし、TA2727 はよりカスタマイズされたアプローチを採用しており、受信者の場所とデバイスの種類に基づいて特定のマルウェアを配信します。

たとえば、フランスや英国の Windows ユーザーが感染した Web サイトにアクセスすると、Hijack Loader (DOILoader) を起動する MSI インストーラー ファイルをダウンロードするように促されることがあります。このインストーラー ファイルによって、Lumma Stealer が配信されます。同様に、同じ手口でリダイレクトされた Android ユーザーは、10 年以上にわたって活動している悪名高いバンキング型トロイの木馬である Marcher を知らないうちにダウンロードする可能性があります。

macOSユーザーへの攻撃拡大

2025 年 1 月現在、TA2727 は北米以外に居住する macOS ユーザーをターゲットにキャンペーンを拡大しています。これらのユーザーは、新たに特定された情報窃盗マルウェアである FrigidStealer のダウンロードをトリガーする不正な更新ページにリダイレクトされます。

Apple の Gatekeeper セキュリティ機能を回避するために、FrigidStealer インストーラーは、ユーザーが署名されていないアプリケーションを手動で起動することを要求します。実行されると、埋め込まれた Mach-O 実行可能ファイルによって脅威がインストールされ、macOS を標的としたサイバー犯罪が大幅に増加しています。

FrigidStealerの仕組み

FrigidStealer は Go プログラミング言語を使用して構築されており、アドホック署名機能を備えています。特に、ユーザーのブラウザ内でコンテンツをレンダリングできる WailsIO プロジェクトを利用しています。この戦術により、悪意のあるインストーラーが正当であるという錯覚が強まり、感染が成功する可能性が高まります。

FrigidStealer は実行されると、AppleScript を使用してユーザーのシステム パスワードを要求し、権限を昇格させます。このアクセスにより、脅威はファイル、機密性の高いブラウザー データ、Apple Notes、暗号通貨関連の情報を収集し、影響を受けるユーザーに重大なリスクをもたらします。

全体像: Web ベースのマルウェア キャンペーン

侵害された Web サイトをマルウェア配信メカニズムとして使用することは、サイバー脅威の継続的な傾向を浮き彫りにしています。攻撃者は、ターゲットのオペレーティング システムと地理的位置に基づいてペイロードをカスタマイズし、最大限の効果を発揮します。macOS システムは Windows に比べて企業環境では依然としてあまり一般的ではありませんが、このキャンペーンは、進化するサイバー脅威に対して macOS ユーザーが警戒を怠らない必要性が高まっていることを裏付けています。

トレンド

ハンター(プリンス)ランサムウェア

ランサムウェア
ランサムウェアは、今日でも最も破壊的で経済的損害を与えるサイバー脅威の 1 つです。被害者を自分のデータから締め出し、回復の見返りに金銭を要求します。Prince パンサムウェアの亜種である Hunter は、この悪意あるトレンドに従い、ファイルを暗号化し、名前を変更し、被害者に攻撃者に金銭を支払うよう圧力をかけます。このランサムウェアの動作を理解し、強力なセキュリティ対策を実装することが、...
DeepSeek のセキュリティ侵害により AI の脆弱性が露呈し、サイバー攻撃が発生スクリーンショット

DeepSeek のセキュリティ侵害により AI の脆弱性が露呈し、サイバー攻撃が発生

コンピュータセキュリティ
中国の最新の生成AIであるDeepSeekは、発売以来、サイバーセキュリティの厳しい監視の対象となっている。セキュリティ研究者は最近、システムプロンプトのジェイルブレイクを暴露し、モデルの内部構造を明らかにした。一方、DeepSeekは一連のDDoS攻撃にも直面し、新規ユーザー登録を制限せざるを得なくなった。これらの事件は、AIモデルのセキュリティリスクと、AIサービスを狙ったサイバー攻撃の...

Altrustix

マルウェア, トロイの木馬
サイバー脅威は進化を続け、洗練された戦術を使ってシステムに侵入し、ユーザーのセキュリティを侵害しています。そのような脅威の 1 つが Altrustix です。これはバックグラウンドで密かに動作し、情報を収集したり、ユーザーのアクティビティを監視したり、有害なコマンドを実行したりする可能性のあるトロイの木馬です。この陰険な脅威に伴うリスクを軽減するには、その動作と配布方法を理解することが重要...

最も見られました

Discord 灰色の画面で立ち往生

問題
71,504
時々、Discordアプリケーションを使用している間、ユーザーは灰色の画面で立ち往生するかもしれません。この問題は、アプリケーションのストリーミング中または単にロード中に発生する可能性があります。これが発生し、それを修正する方法がわからない場合は、次の解決策を試してください。 画面モードの切り替え 原因が視覚的な不具合であり、それ以上深刻なものがない場合は、全画面モードや小画面オプションを有...

「プリンタドライバが利用できません」エラーを修正する方法

問題
63,727
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
63,179
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...
読み込んでいます...