Un nouveau malware redoutable, connu sous le nom de FrigidStealer, cible les utilisateurs de Mac avec une efficacité inquiétante. Ce programme malveillant, découvert par des experts en cybersécurité, se propage astucieusement grâce à des mises à jour frauduleuses de navigateurs populaires comme Safari et Chrome. En unissant leurs forces, deux groupes de hackers orchestrent cette attaque avec pour objectif principal de voler des informations sensibles et des cryptomonnaies.
Le monde des utilisateurs de Mac est en alerte avec l’apparition de FrigidStealer. Ce nouveau logiciel malveillant, identifié par des chercheurs en cybersécurité, s’attaque directement aux informations confidentielles des ordinateurs infectés dans le but d’en tirer un profit financier.
À lire également : Le retour du malware Atomic Stealer sur Mac, attention à vos mots de passe
FrigidStealer : La fausse mise à jour de navigateur qui piège les utilisateurs de Mac
Les attaquants exploitent une stratégie courante pour tromper les utilisateurs de macOS : la fausse mise à jour de navigateur. En incitant une cible à installer une mise à jour supposément nécessaire de son navigateur via une fenêtre pop-up, les pirates dissimulent le malware FrigidStealer. Un simple clic sur « Mettre à jour » suffit pour permettre au virus de s’introduire dans le système de l’utilisateur.
Le processus commence par le téléchargement d’un fichier DMG sur l’ordinateur. L’utilisateur doit cliquer sur ce fichier, présenté comme une mise à jour, pour que le contenu du fichier DMG s’installe. Le téléchargement requiert une action manuelle de la part de l’utilisateur, qui doit effectuer un clic droit et choisir “Ouvrir”. Ensuite, il doit entrer son mot de passe pour passer outre Gatekeeper, le mécanisme de sécurité d’Apple qui protège contre les applications non vérifiées.
Les hackers commencent par compromettre des sites web, en y injectant du code Javascript malveillant dans le code HTML. Le site compromis affiche alors de fausses notifications urgentes incitant à installer la dernière mise à jour du navigateur, la source de cette alerte semblant provenir de Google Chrome ou de Safari, selon le navigateur de la victime.
Pour sélectionner leurs cibles, les cybercriminels utilisent un TDS (Traffic Distribution System), un outil qui redirige le trafic internet en fonction de critères spécifiques tels que la localisation géographique, le type d’appareil ou le comportement de l’utilisateur. Les pirates choisissent ainsi qui cibler ou non selon le système d’exploitation et le navigateur utilisé, afin de maximiser leurs chances de succès.
À lire également : Alerte sur macOS – Des pirates nord-coréens piègent les utilisateurs Apple avec de fausses offres d’emploi
FrigidStealer : Le voleur de cryptomonnaies
Une fois en place, FrigidStealer s’attaque aux cookies, identifiants de connexion et fichiers de mots de passe stockés dans Safari ou Chrome. Il cherche ensuite des informations permettant de voler des cryptomonnaies, telles que des clés privées. Avec ces clés, il est possible de vider un portefeuille sur la blockchain. FrigidStealer fouille tous les dossiers de l’ordinateur, l’application Notes, les fichiers texte et les feuilles de calcul pour dénicher ces précieuses clés. Les données volées sont ensuite exfiltrées.
« Les voleurs d’informations sur macOS sont de plus en plus fréquents. Les attaquants utilisent des compromissions de sites web pour diffuser des logiciels malveillants ciblant tant les entreprises que les particuliers », avertissent les experts en cybersécurité.
FrigidStealer : Deux gangs à l’origine de l’attaque
Derrière cette offensive, on retrouve deux gangs de hackers, TA2726 et TA2727, qui unissent leurs ressources pour mener à bien l’opération. Le premier gang se charge de l’injection de code malveillant sur les sites web, tandis que le second se concentre sur le développement du virus FrigidStealer.
Les chercheurs ont constaté que ces deux groupes s’attaquent également aux ordinateurs Windows et aux smartphones Android. Dans ces cas, ils utilisent des virus connus, tels que Lumma Stealer, DeerStealer ou Marcher, un cheval de Troie bancaire. L’attaque est en cours dans plusieurs pays, y compris la France. Il est donc recommandé de rester vigilant et de se méfier des fenêtres surgissantes sur le web.
Restez toujours à la pointe avec nous et découvrez pourquoi notre blog est la référence incontournable des amateurs de gadgets et de technologie.