Malware FrigidStealer atinge usuários do macOS por meio de atualizações falsas do navegador Safari

O malware FrigidStealer tem como alvo usuários do macOS por meio de atualizações falsas do navegador, roubando senhas, carteiras de criptomoedas e notas usando métodos de roubo de dados baseados em DNS.

Uma cepa conhecida de malware para macOS, conhecida como FrigidStealer, está mirando usuários da Apple por meio de avisos falsos e convincentes de atualização do navegador. Detectada pela primeira vez em fevereiro de 2025 e relatada pelo Hackread.com, essa variante faz parte da família de malware Ferret e já impactou usuários na América do Norte, Europa e Ásia.

A cepa de malware foi associada ao TA2726 e ao TA2727, ambos conhecidos por usar atualizações falsas de navegador como vetor de ataque. Também foi associada a um aumento repentino de infecções em setores de atendimento ao público, especialmente varejo e hotelaria.

O malware opera enganando os usuários, fazendo-os baixar um arquivo de imagem de disco (DMG) disfarçado de atualização do Safari . Uma vez instalado, o arquivo ignora as proteções do Gatekeeper da Apple, solicitando que o usuário insira sua senha, explorando a funcionalidade integrada do AppleScript. O malware então instala um aplicativo malicioso com o ID de pacote com.wails.ddaolimaki-daunito , o que o ajuda a se camuflar com aplicativos legítimos.

Uma vez ativo, o FrigidStealer começa a coletar dados confidenciais, incluindo credenciais do navegador, arquivos do sistema, informações de carteira de criptomoedas e até mesmo do Apple Notes. Esses dados são então exfiltrados para um servidor de comando e controle por meio de consultas DNS roteadas pelo mDNSResponder do macOS. Após roubar e enviar os dados, o malware encerra seu próprio processo para reduzir as chances de detecção.

De acordo com a Wazuh, uma empresa de segurança cibernética de código aberto que identificou o FrigidStealer e compartilhou seu relatório técnico com o Hackread.com, observou que esse malware não depende de kits de exploração tradicionais ou vulnerabilidades. Em vez disso, ele se aproveita da confiança do usuário em notificações do sistema e avisos de atualização do navegador. Essa abordagem o torna mais perigoso, pois exige menos sofisticação técnica por parte do invasor, mas ainda é altamente eficaz.

O que diferencia o FrigidStealer é o uso de comportamentos específicos do macOS para permanecer persistente. Ele se registra como um aplicativo em primeiro plano via launchservicesd , interage com o sistema por meio de comunicação não autorizada de Eventos Apple e apaga rastros de si mesmo após a execução. Registros do Sistema Unificado de Registros (ULS) da Apple mostram que o malware usa nomes de processos e serviços legítimos para permanecer oculto.

Se você usa macOS, lembre-se de que os invasores estão cada vez mais espertos na hora de enganar as pessoas. Eles combinam golpes inteligentes com o conhecimento de como o sistema funciona para burlar a segurança padrão. Mesmo com a proteção implementada, o primeiro passo do ataque geralmente se resume a alguém clicar em um link ou confiar em um prompt de atualização falso .

Portanto, recomenda-se que os usuários evitem instalar atualizações de software a partir de prompts inesperados ou sites de terceiros. As atualizações devem sempre vir diretamente de fontes oficiais, como a Mac App Store ou a ferramenta de atualização de software do próprio sistema.