Proofpointが新たなmacOS情報窃取型マルウェア「FrigidStealer」を発見

Appleデバイスはマルウェアに免疫があると考えられていた時代は終わりを迎え、新たな悪意あるキャンペーンがmacOSを標的にするようになっています。

2月18日の新しいレポートで、ProofpointはmacOSを標的とするまったく新しい情報窃取型マルウェア「FrigidStealer」を発見しました。

このマルウェアは、TA569が関与するキャンペーンで展開されています。TA569は、FakeUpdates/SocGholishとして知られるJavaScriptペイロードへとつながるWebサイトへのインジェクション（注入）の展開で主に知られる、活動が活発な脅威アクターです。

Proofpointはまた、TA569に関連する2つの新グループ、TA2726およびTA2727も明らかにしました。

TA569の進化

TA569は、Mustard Tempest Gold PreludeおよびPurple Vallhundとしても知られ、サイバー犯罪シンジケートEvilCorpと関連付けられており、2022年に初めて特定されました。

同グループは主に、ネットワークへのアクセス獲得とプロファイリングのための主要手法としてマルバタイジングを使用しています。

通常、ブラウザ更新やソフトウェアパッケージを装ったFakeUpdates/SocGholishを展開し、標的を誘導して、JavaScriptファイルを含むZIPファイルをダウンロードさせます。実行されると、このJavaScriptフレームワークは他のマルウェアキャンペーンのローダーとして機能し、多くの場合Cobalt Strikeのペイロードを配布します。これはWebインジェクトキャンペーンとして知られる手法です。

Proofpointは、TA569がセキュリティコミュニティ内で「偽の更新」とほぼ同義になったと述べました。

「しかし2023年以降、同じWebインジェクトおよびトラフィックリダイレクトの手法を用いてマルウェアを配布する複数の模倣犯が出現しました」と、Proofpointの研究者は指摘しています。

さらに、TA569は攻撃チェーン全体を管理することで知られていましたが、現在は脅威アクター同士の協業が増えており、各グループが一部分を担当する傾向が強まっています。

協業する2つの新たな脅威アクターの出現

同様のWebインジェクトキャンペーンを展開するこれらのグループのうち2つがTA2726とTA2727であり、Proofpointはこれらを新たな脅威アクターであると評価しました。

特にTA2727は最近、WindowsおよびAndroidホスト向けのマルウェアと並行して、Macコンピュータ向けの新しい情報窃取型マルウェアを配布していることが観測されました。Proofpointの研究者は、このmacOSマルウェアをFrigidStealerと命名しました。 

Proofpointは高い確信度で、TA2726がTA569およびTA2727のためのトラフィック分配サービス（TDS）プロバイダーとして機能していると評価しており、以前はTA569に帰属されていた一部のキャンペーンが、現在はTA2726およびTA2727に再帰属されています。

同社はまた、中程度の確信度で、TA2727がオンラインフォーラムでトラフィックを購入してマルウェアを拡散していると評価しました。これは自らのマルウェア、または潜在的な顧客のマルウェアである可能性があります。 

FrigidStealer配布キャンペーンの内側

2025年これまでのところ、ProofpointはTA2726のTDSがトラフィックをリダイレクトし、北米ではTA569へ、それ以外の大半の国ではTA2727へ誘導していることを観測しています。TA2727は、WindowsプラットフォームではLumma StealerとDeerStealer、MacデバイスではFrigidStealer、AndroidではMarcherを配布しています。

FrigidStealerキャンペーンは2025年1月に検知されました。北米以外のMacユーザーを標的としていました。

標的がWebブラウザから侵害されたWebサイトを訪れると、偽の更新ページへリダイレクトされ、［Update］ボタンをクリックするとFrigidStealerがダウンロードおよびインストールされました。Proofpointの研究者はこのマルウェアをFrigidStealerと名付けました。