FrigidStealer恶意软件通过虚假浏览器更新瞄准macOS用户，使用基于DNS的数据盗窃方法窃取密码、加密钱包和笔记。

一种名为FrigidStealer的已知macOS恶意软件变种正在通过令人信服的虚假浏览器更新提示攻击Apple用户。该变种于2025年2月首次发现，属于Ferret恶意软件家族，目前已影响到北美、欧洲和亚洲的用户。

该恶意软件毒株与TA2726和TA2727有关，这两个病毒都以使用虚假浏览器更新作为攻击媒介而闻名。此外，它还与面向公众的行业（尤其是零售业和酒店业）感染激增有关。

该恶意软件的运作方式是诱骗用户下载伪装成Safari更新的磁盘映像文件(DMG) 。安装文件后，它会提示用户输入密码，从而绕过Apple的Gatekeeper保护机制，并利用内置的AppleScript功能。之后，该恶意软件会安装一个带有bundle ID的恶意应用com.wails.ddaolimaki-daunito，使其与合法应用混为一谈。

一旦激活，FrigidStealer就会开始收集敏感数据，包括浏览器凭证、系统文件、加密货币钱包信息，甚至Apple Notes。这些数据随后通过macOS的mDNSResponder路由的DNS查询，被泄露到命令与控制服务器。窃取并发送数据后，该恶意软件会终止自身进程，以降低被发现的可能性。

据开源网络安全公司Wazuh称，该公司发现了FrigidStealer。Wazuh指出，该恶意软件并不依赖传统的漏洞利用工具包或漏洞。相反，它利用的是用户对系统通知和浏览器更新提示的信任。这种方法使其更加危险，因为它对攻击者的技术要求较低，但仍然非常有效。

FrigidStealer的独特之处在于它利用macOS特有的行为来保持持久性。它通过 将自身注册为前台应用程序launchservicesd，通过未经授权的Apple Events通信与系统交互，并在执行后删除自身的痕迹。来自Apple统一日志系统(ULS)的日志显示，该恶意软件使用合法的进程名称和服务来保持隐藏。

如果您使用的是macOS，请记住，攻击者的欺骗手段越来越精明。他们巧妙地将骗局与对系统运作方式的了解结合起来，从而绕过标准的安全措施。即使采取了保护措施，攻击的第一步通常也只是用户点击了链接或信任了虚假的更新提示。

因此，我们敦促用户避免从意外提示或第三方网站安装软件更新。更新应始终直接来自官方来源，例如Mac App Store或系统自带的软件更新工具。