警惕！虚假浏览器更新暗藏恶意软件 FrigidStealer

IT之家 2 月 21 日消息，网络安全公司 Proofpoint 于 2 月 18 日发布博文，发现有黑客通过伪装成浏览器更新，针对苹果 Mac 用户分发 FrigidStealer 恶意软件，窃取用户隐私数据。

报告指出 TA2726 和 TA2727 两家黑客组织伪装成浏览器更新，诱骗用户下载恶意软件。用户访问受感染网站后，会被提示进行虚假的浏览器更新。

IT之家注：用户一旦安装，FrigidStealer 恶意软件会利用 AppleScript 和 osascript 收集敏感数据，包括浏览器 Cookie、加密货币相关文件，甚至 Apple Notes（未加密的笔记），窃取的数据会被发送到 askforupdateorg 的命令控制服务器。

整个攻击链比较复杂，TA2726 将用户重定向到 TA2727 控制的恶意域名，根据用户的设备和浏览器，提供定制的虚假更新提示。

Mac 用户看到的提示是伪造的 Google Chrome 或 Safari 更新，点击“更新”按钮后，会下载恶意 DMG 文件，安装过程会提示用户绕过 macOS Gatekeeper 安全防护。

FrigidStealer 运行由 WailsIO 构建的 Mach-O 可执行文件，让虚假安装程序看起来很真实，感染后恶意软件提取敏感数据并将其泄露到其命令控制服务器，从而完成攻击。

Proofpoint 提醒 Mac 用户，警惕意外的软件更新提示，此外通过官方渠道更新以及更新安全软件等方式防范 FrigidStealer 攻击。