# FrigidStealer > [!high] Infostealer macOS do Grupo TA2727 — Distribuído via Fake Browser Updates > FrigidStealer é um infostealer para macOS atribuído ao grupo TA2727, descoberto em 2025. É distribuído via campanhas de atualização falsa de navegador (fake browser update) e tem capacidade de roubar cookies, credenciais salvas no Keychain e arquivos de criptomoedas em sistemas Apple. ## Visão Geral O FrigidStealer é um infostealer para macOS atribuído ao grupo TA2727, identificado pela Proofpoint em 2025. O malware representa a expansão da ameaça de infostealers para o ecossistema Apple, historicamente menos visado que o Windows por este tipo de malware. A distribuição ocorre principalmente via campanhas de "fake browser update" — páginas web comprometidas ou maliciosas que apresentam ao visitante um aviso urgente de que seu navegador está desatualizado, instruindo o download de uma atualização que é na verdade o dropper do FrigidStealer. Esta técnica, também usada para distribuir [[s0154-cobalt-strike|SocGholish]] no Windows, explora a tendência dos usuários de manter software atualizado. Uma vez instalado no macOS, o FrigidStealer coleta dados do Keychain (onde o macOS armazena senhas e certificados), cookies de navegadores populares (Chrome, Firefox, Safari), arquivos de criptomoedas e documentos de interesse. Os dados são exfiltrados ao servidor C2 do TA2727. > [!latam] Relevância para o Brasil e LATAM > O uso de Macs é crescente em empresas brasileiras de tecnologia, finanças e publicidade. O FrigidStealer representa ameaça direta a usuários corporativos de macOS que acessam sistemas bancários e de criptomoedas. Equipes de segurança no Brasil frequentemente negligenciam proteção de endpoints macOS — o que aumenta o risco de comprometimento via campanhas de fake browser update amplamente distribuídas. O [[financial|setor financeiro]] e empresas de **tecnologia** com equipes usando MacBooks devem implementar EDR para macOS. ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Initial Access | [[t1566-phishing\|T1566]] | Fake browser update pages | | Execution | [[t1204-user-execution\|T1204]] | Usuário executa dropper disfarçado de atualização | | Collection | [[t1005-data-from-local-system\|T1005]] | Coleta de arquivos de cripto e documentos | | Credential Access | [[t1555-credentials-from-password-stores\|T1555]] | Roubo de credenciais do macOS Keychain | ## Detecção - Monitorar processos que acessam o Keychain sem autorização esperada - Detectar binários executados de pastas de downloads não reconhecidas - Implementar regras de detecção para acessos ao banco de dados de cookies de navegadores - Usar EDR macOS com análise comportamental (CrowdStrike Falcon, SentinelOne) ## Referências - [Proofpoint - FrigidStealer and TA2727 Analysis (2025)](https://www.proofpoint.com/us/blog/threat-insight/frosted-flakes-frigidstealer-ta2727) - [Malwarebytes - macOS Infostealer Landscape (2025)](https://www.malwarebytes.com)