FrigidStealer: il malware che colpisce gli utenti macOS tramite falsi aggiornamenti di Safari

FrigidStealer: il malware che colpisce gli utenti macOS tramite falsi aggiornamenti di Safari

Il malware FrigidStealer: una nuova minaccia per gli utenti macOS

FrigidStealer è un pericoloso malware che sta attualmente prendendo di mira gli utenti dei sistemi macOS attraverso una sofisticata campagna di ingegneria sociale. Questo malware, individuato per la prima volta a febbraio 2025, appartiene alla famiglia di malware Ferret e ha già colpito numerosi utenti in Nord America, Europa e Asia. La sua diffusione è particolarmente preoccupante poiché sfrutta tecniche avanzate per eludere i meccanismi di sicurezza di macOS e rubare informazioni sensibili.

Come si diffonde FrigidStealer

La tecnica principale utilizzata dai criminali informatici per diffondere FrigidStealer è l’imitazione di aggiornamenti legittimi per browser web. Gli attacchi iniziano con la distribuzione di esche che invitano gli utenti a scaricare quello che sembra essere un aggiornamento di Safari (o in alcuni casi Google Chrome). In realtà, ciò che viene scaricato è un file DMG (immagine disco) malevolo progettato per aggirare le protezioni di sicurezza di macOS.

Una volta scaricato, il file si apre mostrando una finestra che fornisce istruzioni all’utente su come “installare l’aggiornamento”. Le istruzioni suggeriscono di fare clic con il pulsante destro del mouse e selezionare “Apri” dal menu contestuale. Questo metodo di installazione è stato appositamente scelto per aggirare Gatekeeper, una funzionalità di sicurezza nativa di macOS che normalmente avvertirebbe l’utente se un’applicazione non è firmata o risulta sospetta.

Gli attori della minaccia

FrigidStealer è stato collegato a due attori di minaccia identificati come TA2726 e TA2727, entrambi noti per utilizzare falsi aggiornamenti del browser come vettore di attacco. Questi gruppi hanno lanciato campagne mirate che hanno colpito diverse organizzazioni in vari settori, con particolare attenzione al commercio al dettaglio e all’ospitalità.

Il meccanismo d’infezione

Il processo di infezione di FrigidStealer è particolarmente insidioso e si articola in diverse fasi:

  1. Fase di distribuzione: Gli utenti vengono indotti a scaricare quello che sembra essere un aggiornamento legittimo di Safari o Chrome.
  2. Bypass di Gatekeeper: Seguendo le istruzioni fornite nella finestra di installazione, gli utenti involontariamente aggirano Gatekeeper usando il metodo “clic destro e Apri”.
  3. Esecuzione del malware: Dopo che l’utente ha completato questi passaggi, il malware esegue un file eseguibile Mach-O incorporato che culmina nell’installazione di FrigidStealer.
  4. Acquisizione dei privilegi: Il malware visualizza una finestra di prompt standard di Mac che richiede all’utente di inserire la propria password, registrando così le credenziali fornite.
  5. Installazione di un’app malevola: Il malware installa un’applicazione dannosa con l’ID bundle com.wails.ddaolimaki-daunito, progettata per confondersi con le applicazioni legittime.

Funzionamento del malware

Una volta attivo sul sistema, FrigidStealer inizia a raccogliere dati sensibili attraverso vari metodi:

Raccolta di dati

FrigidStealer cerca sistematicamente informazioni sensibili sul dispositivo infetto, concentrandosi su:

  • Credenziali dei browser: Il malware estrae le password salvate nei browser web.
  • File di sistema: Cerca documenti contenenti informazioni sensibili.
  • Informazioni sui portafogli di criptovalute: Individua e ruba dati relativi ai portafogli di criptovalute.
  • Note di Apple: Accede e ruba il contenuto dell’app Notes di macOS.
  • Cookie di Internet: Estrae i cookie dei siti web per potenziali accessi non autorizzati.

Meccanismo di esfiltrazione dei dati

Ciò che rende FrigidStealer particolarmente sofisticato è il suo metodo di esfiltrazione dei dati. Il malware utilizza query DNS che vengono instradate attraverso mDNSResponder di macOS per inviare i dati rubati a un server di comando e controllo. Questo approccio è particolarmente insidioso poiché il traffico DNS è spesso meno monitorato rispetto ad altri tipi di traffico di rete.

Auto-eliminazione

Dopo aver rubato e inviato i dati, FrigidStealer termina il proprio processo e si elimina dal sistema compromesso per ridurre le possibilità di rilevamento. Questa capacità di “auto-pulizia” rende più difficile per gli utenti e i professionisti della sicurezza rilevare l’infezione dopo che è avvenuta.

Settori maggiormente colpiti

Secondo i rapporti recenti, FrigidStealer ha preso di mira con particolare intensità organizzazioni in settori specifici:

  • Commercio al dettaglio: Aziende che gestiscono punti vendita al dettaglio.
  • Ospitalità: Hotel, ristoranti e altre attività nel settore dell’ospitalità.

Queste industrie sono particolarmente vulnerabili poiché spesso gestiscono grandi volumi di dati sensibili dei clienti, incluse informazioni finanziarie.

Come proteggere i tuoi dispositivi macOS

Alla luce della minaccia rappresentata da FrigidStealer, ecco alcune misure preventive fondamentali che ogni utente macOS dovrebbe adottare:

Aggiornamenti sicuri

  • Utilizza solo canali ufficiali: Scarica gli aggiornamenti software esclusivamente dal Mac App Store o dallo strumento Software Update del tuo dispositivo.
  • Verifica l’autenticità: Prima di installare qualsiasi aggiornamento, verifica che provenga effettivamente dallo sviluppatore ufficiale.
  • Diffida dei popup: Non fidarti mai dei popup che appaiono durante la navigazione web e che ti invitano ad aggiornare il tuo browser.

Misure di sicurezza aggiuntive

  • Mantieni aggiornato il sistema operativo: Assicurati che macOS sia sempre aggiornato con le ultime patch di sicurezza.
  • Utilizza un software antivirus affidabile: Installa e mantieni aggiornato un software antivirus progettato specificamente per macOS.
  • Abilita il firewall: Attiva il firewall integrato di macOS per un ulteriore livello di protezione.
  • Utilizza l’autenticazione a due fattori: Attiva l’autenticazione a due fattori per l’ID Apple e altri account sensibili.
  • Fai backup regolari: Mantieni backup regolari dei tuoi dati importanti utilizzando Time Machine o altri strumenti di backup.

Come rimuovere FrigidStealer

Se sospetti che il tuo dispositivo macOS sia stato infettato da FrigidStealer, ecco i passaggi da seguire per rimuoverlo:

Passaggi per la rimozione manuale

  1. Avvia in modalità provvisoria: Riavvia il Mac tenendo premuto il tasto Shift durante l’avvio.
  2. Controlla le applicazioni sospette: Vai alla cartella Applicazioni e cerca applicazioni sconosciute o sospette.
  3. Controlla gli elementi di avvio: Vai a Preferenze di Sistema > Utenti e Gruppi > Elementi Login e rimuovi eventuali elementi sospetti.
  4. Cerca file sospetti: Controlla le seguenti posizioni per file sospetti:
    • /Library/LaunchAgents
    • ~/Library/LaunchAgents
    • /Library/LaunchDaemons
    • /Library/Application Support
    • ~/Library/Application Support
  5. Ripristina le impostazioni del browser: Ripristina le impostazioni predefinite di Safari o di altri browser utilizzati.

Utilizzo di software antimalware

Per una rimozione più efficace, considera l’utilizzo di un software antimalware affidabile progettato per macOS. Questi strumenti possono identificare e rimuovere FrigidStealer e altri malware in modo più completo:

  • Esegui una scansione completa del sistema con il software antimalware.
  • Segui le istruzioni del software per la rimozione di eventuali minacce rilevate.
  • Riavvia il sistema dopo la rimozione.

L’evoluzione delle minacce per macOS

FrigidStealer rappresenta una tendenza preoccupante nell’evoluzione del panorama delle minacce per i sistemi macOS. Tradizionalmente, gli utenti Mac hanno goduto di un ambiente più sicuro rispetto ad altri sistemi operativi, ma questa percezione sta cambiando man mano che gli attacchi diventano più sofisticati e mirati.

Trend in aumento

Negli ultimi anni, abbiamo assistito a un aumento significativo del malware progettato specificamente per i sistemi macOS. Questo trend è guidato da diversi fattori:

  • Crescente base di utenti: L’aumento della popolarità dei dispositivi Apple li rende obiettivi più attraenti per i criminali informatici.
  • Percezione di sicurezza: Gli utenti Mac spesso hanno una falsa sensazione di sicurezza, credendo che i loro dispositivi siano immuni da malware.
  • Alto valore dei dati: Gli utenti Mac tendono ad avere un potere d’acquisto più elevato, rendendo i loro dati più preziosi per i criminali.

Evoluzione delle tecniche di attacco

FrigidStealer dimostra come le tecniche di attacco stiano diventando sempre più sofisticate:

  • Evasione di Gatekeeper: Gli attaccanti hanno sviluppato metodi per aggirare Gatekeeper, una delle principali difese di macOS.
  • Sfruttamento dell’ingegneria sociale: Invece di concentrarsi esclusivamente su vulnerabilità tecniche, gli attacchi moderni sfruttano la psicologia umana.
  • Tecniche di esfiltrazione avanzate: L’uso di query DNS per l’esfiltrazione dei dati mostra un livello di sofisticazione in aumento.

Il futuro di FrigidStealer e minacce simili

È importante notare che gli sviluppatori di malware migliorano costantemente il loro software e le loro metodologie. Le potenziali versioni future di FrigidStealer potrebbero avere capacità e funzionalità aggiuntive o diverse. Gli esperti di sicurezza prevedono che possiamo aspettarci:

  • Tecniche di evasione più avanzate: Nuovi metodi per eludere il rilevamento da parte di software antimalware.
  • Ampliamento degli obiettivi: Estensione a più browser e applicazioni per la raccolta di dati.
  • Miglioramento dell’ingegneria sociale: Tattiche sempre più convincenti per ingannare gli utenti.
  • Integrazione con altre minacce: Possibile combinazione con ransomware o altre forme di malware.

FrigidStealer rappresenta una seria minaccia per gli utenti macOS, dimostrando che nessun sistema operativo è completamente immune da attacchi informatici. La sua capacità di eludere le protezioni di sicurezza, rubare dati sensibili e auto-eliminarsi lo rende particolarmente pericoloso.

In un panorama di minacce in continua evoluzione, la vigilanza e l’adozione di buone pratiche di sicurezza sono essenziali. Gli utenti macOS dovrebbero mettere in discussione la percezione che i loro dispositivi siano naturalmente sicuri e adottare un approccio proattivo alla sicurezza informatica.

Ricorda: la sicurezza non è un prodotto, ma un processo continuo. Mantenere il sistema aggiornato, essere cauti con ciò che si scarica e installa, e utilizzare strumenti di sicurezza adeguati sono passi fondamentali per proteggersi da minacce come FrigidStealer e altre forme di malware che inevitabilmente emergeranno in futuro.

Fonte: https://ciso2ciso.com/frigidstealer-malware-hits-macos-users-via-fake-safari-browser-updates-sourcehackread-com

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto