19/02/25
Исследователи из Proofpoint определили , что за кампанией стоит группировка TA2727, связанная с распространением вредоносных программ Lumma Stealer для Windows и Marcher для Android. Об этом пишет Securitylab.
Специалисты отмечают, что TA2727 использует фальшивые обновления для распространения различных вредоносных программ. Эта группировка является частью более широкой сети, включающей TA2726 — оператора системы дистрибуции трафика (TDS), работающей в интересах других киберпреступников. TA2726, в свою очередь, взаимодействует с TA569, ответственной за распространение вредоносного JavaScript-загрузчика SocGholish (он же FakeUpdates), маскирующегося под обновления браузеров.
Методы TA2727 очень похожи на подходы TA569 — они используют скомпрометированные сайты, внедряя в них вредоносный JavaScript-код, который имитирует страницу обновления Chrome или Edge. Однако TA2727 выделяется тем, что подстраивает вредоносную нагрузку под операционную систему и географическое положение жертвы. Например, пользователи Windows во Франции и Великобритании получали файл MSI, содержащий Hijack Loader, который затем загружал Lumma Stealer. Если же заражённый сайт открывает пользователь Android, ему подсовывают банковского трояна Marcher.
С января 2025 года злоумышленники обновили тактику и начали атаковать пользователей macOS за пределами Северной Америки. Если пользователь посещает заражённый сайт, ему предлагают загрузить поддельное обновление браузера, содержащее новый вредоносный софт FrigidStealer. Для успешной атаки злоумышленники используют социальную инженерию — установочный файл подписан вручную и оформлен таким образом, чтобы создать иллюзию легитимности.
После запуска FrigidStealer запрашивает у жертвы ввод пароля администратора через AppleScript, что позволяет вредоносу получить повышенные привилегии и спокойно похищать конфиденциальные данные. FrigidStealer собирает файлы, извлекает информацию из браузеров, заметок Apple Notes и приложений, связанных с криптовалютами.
