Công ty an ninh mạng Proofpoint đã phát hiện rằng tin tặc đang phân phối phần mềm độc hại FrigidStealer nhắm vào người dùng Mac của Apple bằng cách giả mạo bản cập nhật trình duyệt nhằm đánh cắp dữ liệu cá nhân.
Theo báo cáo, hai nhóm tin tặc TA2726 và TA2727 đã giả mạo cập nhật trình duyệt để lừa người dùng tải xuống phần mềm độc hại. Khi truy cập vào các trang web bị nhiễm, người dùng sẽ nhận được lời nhắc thực hiện một bản cập nhật trình duyệt giả mạo. Nếu cài đặt bản cập nhật này, phần mềm độc hại FrigidStealer sẽ sử dụng AppleScript và osascript để thu thập dữ liệu nhạy cảm, bao gồm cookie trình duyệt, tệp liên quan đến tiền mã hóa và thậm chí cả ghi chú trong Apple Notes (nếu chưa được mã hóa). Dữ liệu bị đánh cắp sau đó sẽ được gửi đến máy chủ điều khiển có tên askforupdateorg.

Chuỗi tấn công này khá phức tạp: nhóm TA2726 sẽ chuyển hướng người dùng đến một tên miền độc hại do TA2727 kiểm soát. Dựa trên thiết bị và trình duyệt của nạn nhân, hệ thống sẽ hiển thị thông báo cập nhật giả mạo được tùy chỉnh. Người dùng Mac sẽ thấy một thông báo giả mạo bản cập nhật của Google Chrome hoặc Safari. Nếu nhấp vào nút “Cập nhật”, một tệp DMG độc hại sẽ được tải xuống, và quá trình cài đặt sẽ yêu cầu người dùng vượt qua cơ chế bảo vệ Gatekeeper của macOS.
FrigidStealer sử dụng tệp thực thi Mach-O được xây dựng bằng WailsIO, giúp trình cài đặt giả mạo trông có vẻ hợp lệ. Sau khi xâm nhập vào hệ thống, phần mềm độc hại sẽ trích xuất dữ liệu nhạy cảm và gửi về máy chủ điều khiển, hoàn tất cuộc tấn công.

Proofpoint khuyến cáo người dùng Mac nên cảnh giác với các thông báo cập nhật phần mềm bất thường. Để bảo vệ thiết bị khỏi cuộc tấn công của FrigidStealer, người dùng nên cập nhật phần mềm thông qua kênh chính thức và sử dụng các giải pháp bảo mật đáng tin cậy.