Нова киберсигурностна заплаха насочва стрелите си към потребителите на Mac с фалшиви актуализации

Изследователите в областта на киберсигурността разкриха две нови киберпрестъпни групи, TA2726 и TA2727, отговорни за възникващата вълна от онлайн атаки, включително измамни схеми с фалшиви ъпдейти и злонамерен софтуер, насочен към устройства с Mac, Windows и Android.

Атаките, включващи внедряването на злонамерен код в законни уебсайтове, подмамват потребителите да изтеглят вреден софтуер, стават все по-разпространени.

Proofpoint, екип за изследване на киберсигурността, публикува днес обновление относно увеличената честота на тези кампании с „инжекции в уеба“, които целят да инфектират потребителите, като ги пренасочват към компрометирани сайтове, които изглеждат надеждни.

Уеб инжекциите обикновено включват злонамерени скриптове, които се изпълняват, когато потребителят посети компрометиран уебсайт. Тези скриптове могат да принудят уебсайта да показва фалшиви известия за обновления, заблуждавайки потребителя да кликне върху измамно обновление, което инсталира зловреден софтуер.

Този тип атаки става все по-труден за проследяване поради множество актьори, използващи същия метод и сътрудничащи помежду си.

Исторически, групата TA569 беше известна с използването на фалшиви актуализации като начин за заразяване на потребители с малуер, но през 2023 година, няколко групи, включително TA2726 и TA2727, започнаха да използват подобни тактики, както е обяснено от Proofpoint.

Тези актьори разпространяват малуер чрез компрометирани уебсайтове, а не чрез имейл кампании, което прави откриването на атаките по-трудно.

TA2726, например, функционира като „дистрибутор на трафик“, пренасочвайки потребителите към различни кампании за малуер. Тази група работи с финансово мотивирани актьори като TA569 и TA2727, които се възползват от компрометирани уебсайтове, за да разпространяват малуер. Разследването на Proofpoint показа, че от септември 2022 г. насам, TA2726 е ключов играч в тези атаки.

От друга страна, TA2727 се фокусира върху доставката на различни видове зловреден софтуер, включително крадец на информация наречен FrigidStealer, който е насочен към потребители на Mac.

Proofpoint отбелязва, че в началото на 2025 година, изследователите наблюдаваха този зловреден софтуер в кампании, насочени към компютри с Windows и Mac. За потребителите на Mac, атаката ги пренасочва към фалшива страница за обновяване, където кликването на бутона „Обнови“ сваля зловреден софтуер, маскиран като легитимно обновяване на браузъра.

FrigidStealer събира чувствителна информация като пароли, бисквитки и файлове, свързани с криптовалути. Малуерът след това изпраща тези данни на киберпрестъпниците, отговорни за атаката, както обясняват изследователите.

Въпреки че потребителите на Mac са по-малко общи в корпоративната среда от потребителите на Windows, тези атаки нарастват по честота.

Експертите препоръчват строги практики по киберсигурност за защита срещу тези заплахи, включително използване на защита на крайните точки, обучение на служителите да разпознават съмнителна активност и избягване на кликване върху недоверени уведомления за актуализации.