(https://i.imgur.com/fKwNzxq.png)
Las campañas de malware FakeUpdate se están volviendo más sofisticadas, con dos grupos de ciberdelincuencia, TA2726 y TA2727, distribuyendo un nuevo malware de robo de información para macOS llamado FrigidStealer.
Además de atacar dispositivos Mac, esta campaña también implementa cargas maliciosas para Windows y Android, ampliando su alcance a múltiples objetivos.
Cómo funciona la campaña FakeUpdateInvestigadores de Proofpoint detectaron que un número creciente de actores de amenazas está utilizando JavaScript malicioso para mostrar falsos mensajes de actualización del navegador, lo que complica la detección y el análisis de los ataques.
En esta operación:
- TA2726 actúa como distribuidor y facilitador de tráfico, vendiendo acceso a otros ciberdelincuentes mediante Keitaro TDS, un servicio de distribución de tráfico legítimo que se usa con fines maliciosos.
- TA2727, identificado en enero de 2025, es un grupo con motivaciones financieras que distribuye malware como Lumma Stealer para Windows, Marcher para Android y FrigidStealer para macOS.
Cómo infecta FakeUpdate a sus víctimasLos atacantes inyectan JavaScript malicioso en sitios web comprometidos para mostrar una notificación falsa de actualización del navegador.
- Este código analiza la ubicación, dispositivo, sistema operativo y tipo de navegador del visitante.
- Las notificaciones fraudulentas simulan ser alertas de Google Chrome o Safari, indicando que el usuario necesita actualizar su navegador.
- Al hacer clic en el botón "Actualizar", el usuario descarga un archivo malicioso:
- Windows: un instalador MSI que ejecuta Lumma Stealer o DeerStealer.
- macOS: un archivo DMG que instala FrigidStealer.
- Android: un archivo APK con el troyano bancario Marcher.
En Mac, los atacantes requieren que el usuario abra manualmente el archivo DMG y proporcione su contraseña, burlando así la protección de macOS Gatekeeper.
FrigidStealer: El nuevo malware dirigido a macOSFrigidStealer es un malware basado en Go diseñado con el marco WailsIO para simular un instalador legítimo y evitar sospechas durante la infección.
Este malware roba:
- Cookies, credenciales y contraseñas almacenadas en Safari y Chrome.
- Credenciales de billeteras de criptomonedas, buscando archivos en las carpetas Escritorio y Documentos.
- Notas de Apple, extrayendo contraseñas, información financiera y otros datos sensibles.
- Documentos, hojas de cálculo y archivos de texto del directorio de inicio del usuario.
Los datos robados se almacenan en una carpeta oculta, se comprimen y se envían a un servidor de comando y control (C2) en askforupdate[.]org.
Impacto y medidas de protecciónLas campañas de robo de información han aumentado a nivel mundial, causando:
- Fraudes financieros y violaciones de privacidad.
- Filtración de datos y extorsión.
- Ataques de ransomware en organizaciones y usuarios individuales.
Cómo protegerse de FakeUpdate y FrigidStealer✔ Nunca descargues ni ejecutes archivos desde sitios web que soliciten actualizaciones, correcciones o captchas.
✔ Mantén tu sistema y navegador actualizados desde fuentes oficiales.
✔ Activa la autenticación en dos pasos para proteger tus cuentas.
✔ Si te infectaste, cambia tus contraseñas en todos los sitios donde tengas cuentas, especialmente si usas la misma contraseña en varias plataformas.
Fuente: https://www.bleepingcomputer.com/