本站 2 月 21 日消息，網(wǎng)絡安全公司 Proofpoint 于 2 月 18 日發(fā)布博文，發(fā)現(xiàn)有黑客通過偽裝成瀏覽器更新，針對蘋果 Mac 用戶分發(fā) FrigidStealer 惡意軟件，竊取用戶隱私數(shù)據(jù)。

報告指出 TA2726 和 TA2727 兩家黑客組織偽裝成瀏覽器更新，誘騙用戶下載惡意軟件。用戶訪問受感染網(wǎng)站后，會被提示進行虛假的瀏覽器更新。

本站注：用戶一旦安裝，F(xiàn)rigidStealer 惡意軟件會利用 AppleScript 和 osascript 收集敏感數(shù)據(jù)，包括瀏覽器 Cookie、加密貨幣相關(guān)文件，甚至 Apple Notes（未加密的筆記），竊取的數(shù)據(jù)會被發(fā)送到 askforupdateorg 的命令控制服務器。

整個攻擊鏈比較復雜，TA2726 將用戶重定向到 TA2727 控制的惡意域名，根據(jù)用戶的設備和瀏覽器，提供定制的虛假更新提示。

Mac 用戶看到的提示是偽造的 Google Chrome 或 Safari 更新，點擊“更新”按鈕后，會下載惡意 DMG 文件，安裝過程會提示用戶繞過 macOS Gatekeeper 安全防護。

FrigidStealer 運行由 WailsIO 構(gòu)建的 Mach-O 可執(zhí)行文件，讓虛假安裝程序看起來很真實，感染后惡意軟件提取敏感數(shù)據(jù)并將其泄露到其命令控制服務器，從而完成攻擊。

Proofpoint 提醒 Mac 用戶，警惕意外的軟件更新提示，此外通過官方渠道更新以及更新安全軟件等方式防范 FrigidStealer 攻擊。