FrigidStealer-Malware trifft macOS-Benutzer über gefälschte Safari-Browser-Updates

Die FrigidStealer-Malware zielt mit gefälschten Browser-Updates auf macOS-Benutzer ab und stiehlt Passwörter, Krypto-Wallets und Notizen mithilfe von DNS-basierten Datendiebstahlmethoden.

Eine bekannte Variante der macOS-Malware FrigidStealer zielt mit gefälschten Browser-Update-Aufforderungen auf Apple-Nutzer ab. Die erstmals im Februar 2025 entdeckte und von Hackread.com gemeldete Variante gehört zur Ferret -Malware-Familie und hat bereits Nutzer in Nordamerika, Europa und Asien betroffen.

Die Malware-Variante wurde mit TA2726 und TA2727 in Verbindung gebracht, die beide dafür bekannt sind, gefälschte Browser-Updates als Angriffsvektor zu verwenden. Sie wurde außerdem mit einem Anstieg der Infektionen in kundenorientierten Branchen, insbesondere im Einzelhandel und Gastgewerbe, in Verbindung gebracht.

Die Malware funktioniert, indem sie Benutzer dazu verleitet, eine als Safari-Update getarnte Disk-Image-Datei (DMG) herunterzuladen. Nach der Installation umgeht sie Apples Gatekeeper-Schutz, indem sie den Benutzer zur Eingabe seines Passworts auffordert und dabei die integrierte AppleScript-Funktionalität ausnutzt. Anschließend installiert die Malware eine schädliche App mit der Bundle-ID com.wails.ddaolimaki-daunito , die sich unter legitimen Anwendungen versteckt.

Sobald FrigidStealer aktiv ist, sammelt er sensible Daten, darunter Browser-Anmeldeinformationen, Systemdateien, Kryptowährungs-Wallet-Informationen und sogar Apple Notes. Diese Daten werden dann über DNS-Abfragen, die über den mDNSResponder von macOS weitergeleitet werden, an einen Command-and-Control-Server weitergeleitet. Nach dem Diebstahl und der Übermittlung der Daten beendet die Malware ihren eigenen Prozess, um die Wahrscheinlichkeit einer Erkennung zu verringern.

Laut Wazuh, einem Open-Source-Cybersicherheitsunternehmen, das FrigidStealer identifizierte und seinen technischen Bericht mit Hackread.com teilte, basiert diese Schadsoftware nicht auf herkömmlichen Exploit-Kits oder Schwachstellen. Stattdessen nutzt sie das Vertrauen der Nutzer in Systembenachrichtigungen und Browser-Update-Aufforderungen aus. Dieser Ansatz macht ihn gefährlicher, da er weniger technisches Know-how des Angreifers erfordert und dennoch hochwirksam ist.

Das Besondere an FrigidStealer ist die Nutzung macOS-spezifischer Verhaltensweisen, um persistent zu bleiben. Es registriert sich über launchservicesd als Vordergrundanwendung, interagiert mit dem System über nicht autorisierte Apple Events-Kommunikation und löscht nach der Ausführung seine Spuren. Protokolle des Unified Logging System (ULS) von Apple zeigen, dass die Malware legitime Prozessnamen und Dienste verwendet, um verborgen zu bleiben.

Wenn Sie macOS verwenden, denken Sie daran, dass Angreifer immer raffinierter darin werden, Benutzer auszutricksen. Sie kombinieren raffinierte Betrugsmaschen mit dem Wissen über die Funktionsweise des Systems, um die Standardsicherheit zu umgehen. Selbst mit vorhandenem Schutz läuft der erste Angriffsschritt oft darauf hinaus, dass jemand auf einen Link klickt oder einer gefälschten Update-Aufforderung vertraut.

Daher wird dringend davon abgeraten, Software-Updates über unerwartete Eingabeaufforderungen oder Drittanbieter-Websites zu installieren. Updates sollten immer direkt aus offiziellen Quellen wie dem Mac App Store oder dem systemeigenen Software-Update-Tool stammen.