Noua amenințare de securitate cibernetică vizează utilizatorii de Mac cu actualizări false

Cercetătorii în domeniul securității cibernetice au descoperit două noi grupuri de infractori cibernetici, TA2726 și TA2727, responsabile pentru lansarea unui val în creștere de atacuri online, inclusiv escrocherii cu actualizări false și malware care vizează dispozitive Mac, Windows și Android.

Atacurile, care presupun injectarea unui cod rău intenționat în site-uri web legitime, păcălind utilizatorii să descarce software periculos, devin din ce în ce mai răspândite.

Proofpoint, o echipă de cercetare în domeniul securității cibernetice, a publicat astăzi un update referitor la creșterea frecvenței acestor campanii de „injectare web”, care își propun să infecteze utilizatorii redirecționându-i către site-uri compromise ce par de încredere.

Injectările web implică de obicei scripturi malițioase care se execută atunci când un utilizator vizitează un site web compromis. Aceste scripturi pot forța site-ul să afișeze notificări false de actualizare, înșelând utilizatorul să dea clic pe o actualizare frauduloasă care instalează malware.

Acest tip de atac a devenit tot mai dificil de urmărit din cauza mai multor actori care folosesc aceeași metodă și colaborează unul cu celălalt.

Istoric, grupul TA569 era bine-cunoscut pentru utilizarea de actualizări false ca metodă de infectare a utilizatorilor cu malware, dar în 2023, mai multe grupuri, inclusiv TA2726 și TA2727, au început să utilizeze tactici similare, așa cum a explicat Proofpoint.

Acești actori distribuie malware prin intermediul site-urilor web compromise mai degrabă decât prin campanii de e-mail, ceea ce face detectarea atacurilor mai provocatoare.

TA2726, de exemplu, funcționează ca un „distribuitor de trafic”, redirecționând utilizatorii către diverse campanii de malware. Acest grup colaborează cu actori motivați financiar, precum TA569 și TA2727, care profită de site-urile web compromise pentru a răspândi malware. Investigația Proofpoint a relevat că, începând cu septembrie 2022, TA2726 a fost un jucător cheie în aceste atacuri.

Pe de altă parte, TA2727 se concentrează pe livrarea a diferite tipuri de malware, inclusiv un hoț de informații numit FrigidStealer, care țintește utilizatorii de Mac.

Proofpoint menționează că la începutul anului 2025, cercetătorii au observat acest malware în campanii vizând atât calculatoarele Windows, cât și pe cele Mac. Pentru utilizatorii de Mac, atacul îi redirecționează către o pagină de actualizare falsă, unde făcând clic pe butonul „Actualizare” se descarcă malware deghizat într-o actualizare legitimă de browser.

FrigidStealer colectează informații sensibile, cum ar fi parole, cookie-uri și fișiere legate de criptomonede. Malware-ul trimite apoi aceste date cibercriminalilor responsabili de atac, așa cum au explicat cercetătorii.

Deși utilizatorii de Mac sunt mai puțin comuni în mediile corporative decât cei de Windows, aceste atacuri sunt în creștere ca frecvență.

Experții recomandă practici solide de securitate cibernetică pentru a se proteja împotriva acestor amenințări, inclusiv utilizarea protecției la nivel de punct final, instruirea angajaților pentru a recunoaște activitățile suspecte și evitarea clicurilor pe notificările de actualizare neîncredințate.