Nowe Zagrożenie Cyberbezpieczeństwa Celuje w Użytkowników Maca za Pomocą Fałszywych Aktualizacji

Badacze z dziedziny cyberbezpieczeństwa odkryli dwie nowe grupy cyberprzestępcze, TA2726 i TA2727, odpowiedzialne za uruchamianie rosnącej fali ataków online, w tym fałszywych scamów dotyczących aktualizacji oraz malware atakującego urządzenia Mac, Windows i Android.

Ataki polegające na wstrzykiwaniu złośliwego kodu do prawidłowych stron internetowych, które zmuszają użytkowników do pobrania szkodliwego oprogramowania, stają się coraz bardziej powszechne.

Proofpoint, zespół badawczy zajmujący się cyberbezpieczeństwem, opublikował dzisiaj aktualizację na temat zwiększonej częstości tych kampanii „web inject”, które mają na celu zainfekowanie użytkowników poprzez przekierowanie ich na skompromitowane strony, które wydają się wiarygodne.

Web inject zazwyczaj polega na uruchamianiu złośliwych skryptów, gdy użytkownik odwiedza skompromitowaną stronę. Te skrypty mogą wymusić na stronie internetowej wyświetlanie fałszywych powiadomień o aktualizacji, co skłania użytkownika do kliknięcia na oszukańczą aktualizację, która instaluje złośliwe oprogramowanie.

Ten rodzaj ataku staje się coraz trudniejszy do śledzenia ze względu na wielu aktorów stosujących tę samą metodę i współpracujących ze sobą.

Historycznie, grupa TA569 była dobrze znana z używania fałszywych aktualizacji jako sposobu na zainfekowanie użytkowników złośliwym oprogramowaniem, ale w 2023 roku, kilka grup, w tym TA2726 i TA2727, zaczęło stosować podobne taktyki, jak wyjaśnił Proofpoint.

Ci aktorzy dystrybuują złośliwe oprogramowanie za pośrednictwem skompromitowanych stron internetowych, a nie kampanii e-mailowych, co sprawia, że wykrycie ataków jest bardziej skomplikowane.

TA2726, na przykład, działa jako „dystrybutor ruchu”, przekierowując użytkowników do różnych kampanii z złośliwym oprogramowaniem. Ta grupa współpracuje z finansowo zmotywowanymi aktorami, takimi jak TA569 i TA2727, którzy wykorzystują skompromitowane strony internetowe do rozpowszechniania złośliwego oprogramowania. Śledztwo Proofpoint wykazało, że od września 2022 roku, TA2726 jest kluczowym graczem w tych atakach.

Z drugiej strony, TA2727 koncentruje się na dostarczaniu różnych typów złośliwego oprogramowania, w tym złodzieja informacji o nazwie FrigidStealer, który jest skierowany do użytkowników Maca.

Proofpoint zauważa, że na początku 2025 roku, badacze obserwowali to złośliwe oprogramowanie w kampaniach skierowanych zarówno do komputerów z Windows, jak i Mac. Dla użytkowników Mac, atak przekierowuje ich na fałszywą stronę aktualizacji, gdzie kliknięcie przycisku „Aktualizuj” pobiera złośliwe oprogramowanie pod przykrywką prawdziwej aktualizacji przeglądarki.

FrigidStealer zbiera wrażliwe informacje, takie jak hasła, ciasteczka oraz pliki związane z kryptowalutami. Następnie malware wysyła te dane do cyberprzestępców odpowiedzialnych za atak, jak wyjaśnili badacze.

Mimo, że użytkownicy Mac są mniej powszechni w środowisku korporacyjnym niż użytkownicy Windows, takie ataki stają się coraz częstsze.

Eksperci zalecają stosowanie solidnych praktyk w zakresie cyberbezpieczeństwa w celu ochrony przed tymi zagrożeniami, w tym korzystanie z ochrony punktów końcowych, szkolenia pracowników w rozpoznawaniu podejrzanej aktywności oraz unikanie klikania na niezaufane powiadomienia o aktualizacjach.