FrigidStealer: Ny malware truer macOS-brugere

En ny malware kaldet FrigidStealer, der specifikt retter sig mod Apple macOS-brugere, er blevet opdaget. Ifølge en rapport fra Proofpoint Threat Research Team distribueres FrigidStealer gennem kompromitterede websites, der viser falske browseropdateringer for Google Chrome og Microsoft Edge.

Opfordrer til download

Metoden er følgende: Når en bruger besøger et inficeret website, præsenteres de for en falsk opdateringsmeddelelse, der opfordrer til download af en opdateringsfil. Hvis brugeren downloader og kører filen, kræver malwaren, at brugeren manuelt åbner den usignerede app og dermed omgår macOS' Gatekeeper-beskyttelse. Herefter kører en indlejret Mach-O-eksekverbar fil, der installerer FrigidStealer på systemet.

FrigidStealer er skrevet i Go-programmeringssproget og bruger WailsIO-projektet til at vise indhold i brugerens browser, hvilket får installationen til at fremstå legitim. Malwaren anvender AppleScript til at fremkalde en dialogboks, der beder brugeren om at indtaste deres systemadgangskode. Det giver FrigidStealer forhøjede rettigheder, hvorved der kan indsamles en bred vifte af følsomme oplysninger, herunder filer, data fra webbrowsere, Apple Notes og kryptovaluta-relaterede applikationer.

Men det er en dårlig ide

De fleste læsere af cert.dk ved, at det er en dårlig ide at downloade og installere software fra ukendte eller mistænkelige kilder. Dette tilfælde er ingen undtagelse. Et andet råd er at undgå at omgå sikkerhedsfunktioner som Gatekeeper, medmindre man er helt sikker på filens oprindelse og integritet.

Med andre ord: Der er tale om klassiske metoder, som cyberkriminelle fortsat anvender for at kompromittere systemer. Men de virker stadig.