Нова кіберзагроза цілиться в користувачів Mac за допомогою підроблених оновлень

Дослідники в області кібербезпеки виявили дві нові кіберзлочинні групи, TA2726 та TA2727, відповідальні за запуск зростаючої хвилі онлайн-атак, включаючи шахрайство зі фальшивими оновленнями та шкідливими програмами, що цілять на пристрої Mac, Windows та Android.

Атаки, які полягають в ін’єкції шкідливого коду в легітимні веб-сайти, обманом змушуючи користувачів завантажувати шкідливе програмне забезпечення, стають все більш поширеними.

Proofpoint, команда з дослідження кібербезпеки, опублікувала сьогодні оновлення про посилення частоти таких кампаній “web inject”, які мають на меті інфікувати користувачів, перенаправляючи їх на скомпрометовані сайти, які здаються надійними.

Web inject зазвичай включає в себе шкідливі скрипти, що запускаються, коли користувач відвідує скомпрометований веб-сайт. Ці скрипти можуть змусити веб-сайт відображати фальшиві сповіщення про оновлення, обманюючи користувача, що натискає на шахрайське оновлення, яке встановлює шкідливе ПЗ.

Цей тип атаки стає все складнішим для відстеження через те, що декілька акторів використовують той самий метод і співпрацюють між собою.

Історично, група TA569 була відома використанням фальшивих оновлень як способу інфікування користувачів шкідливим програмним забезпеченням, але у 2023 році декілька груп, включаючи TA2726 і TA2727, почали використовувати подібні тактики, як це пояснено Proofpoint.

Ці актори розповсюджують шкідливе ПЗ через скомпрометовані веб-сайти, а не через електронні листи, що робить виявлення атак більш складним.

TA2726, наприклад, функціонує як “розподільник трафіку”, перенаправляючи користувачів на різні кампанії з шкідливим ПЗ. Ця група співпрацює з фінансово мотивованими акторами, такими як TA569 та TA2727, які використовують скомпрометовані веб-сайти для розповсюдження шкідливого ПЗ. Розслідування Proofpoint виявило, що з вересня 2022 року TA2726 стала ключовим гравцем у цих атаках.

З іншого боку, TA2727 зосереджується на доставці різних типів шкідливого програмного забезпечення, включаючи програму-крадійку інформації, названу FrigidStealer, яка ціліє на користувачів Mac.

Proofpoint зазначає, що на початку 2025 року дослідники спостерігали це шкідливе програмне забезпечення в кампаніях, спрямованих як на комп’ютери Windows, так і на Mac. Для користувачів Mac атака перенаправляє їх на фальшиву сторінку оновлення, де натискання кнопки “Оновити” завантажує шкідливе програмне забезпечення, замасковане під легітимне оновлення браузера.

FrigidStealer збирає конфіденційну інформацію, таку як паролі, куки та файли, пов’язані з криптовалютою. Потім, як пояснили дослідники, цей шкідливий програмний засіб надсилає ці дані кіберзлочинцям, відповідальним за атаку.

Хоча користувачі Mac менш поширені в корпоративному оточенні, ніж користувачі Windows, ці атаки стають все частішими.

Експерти рекомендують впровадження сильних практик кібербезпеки для захисту від цих загроз, включаючи використання захисту кінцевих точок, навчання співробітників впізнавати підозрілу активність та уникнення натискання на ненадійні повідомлення про оновлення.