Nova prijetnja u kibernetičkoj sigurnosti cilja korisnike Maca s lažnim ažuriranjima

Istraživači iz područja kibernetičke sigurnosti otkrili su dvije nove skupine kibernetičkih kriminalaca, TA2726 i TA2727, odgovorne za pokretanje rastućeg vala online napada, uključujući lažne scamove ažuriranja i zlonamjerni softver koji cilja na Mac, Windows i Android uređaje.

Napadi, koji uključuju ubacivanje zlonamjernog koda u legitimne web stranice, zavaravaju korisnike da preuzmu štetan softver, postaju sve rašireniji.

Proofpoint, istraživački tim za kibernetičku sigurnost, danas je objavio ažuriranje o povećanoj frekvenciji ovih “web injekcija”, koje ciljaju inficiranje korisnika preusmjeravanjem na kompromitirane stranice koje izgledaju pouzdano.

Web injekcije obično uključuju zlonamjerne skripte koje se pokreću kada korisnik posjeti kompromitiranu web stranicu. Ove skripte mogu natjerati web stranicu da prikazuje lažne obavijesti o ažuriranju, varajući korisnika da klikne na lažno ažuriranje koje instalira zlonamjerni softver.

Ova vrsta napada postala je sve teže pratiti zbog više aktera koji koriste istu metodu i surađuju jedni s drugima.

Historijski gledano, grupa TA569 bila je poznata po korištenju lažnih ažuriranja kao načina za inficiranje korisnika s malwareom, ali 2023. godine, nekoliko grupa, uključujući TA2726 i TA2727, počelo je koristiti slične taktike, kako objašnjava Proofpoint.

Ovi glumci distribuiraju malware preko kompromitiranih web stranica umjesto putem e-mail kampanja, što otežava detekciju napada.

TA2726, na primjer, funkcionira kao “distributer prometa”, preusmjeravajući korisnike na različite kampanje s malwareom. Ova grupa surađuje s financijski motiviranim akterima poput TA569 i TA2727, koji iskorištavaju kompromitirane web stranice za širenje malwarea. Istraživanje Proofpointa otkrilo je da je od rujna 2022. TA2726 bio ključan igrač u ovim napadima.

S druge strane, TA2727 se fokusira na isporuku raznih vrsta zlonamjernog softvera, uključujući kradljivca informacija pod nazivom FrigidStealer, koji cilja na korisnike Maca.

Proofpoint napominje da su istraživači početkom 2025. godine primijetili ovaj zlonamjerni softver u kampanjama usmjerenim na Windows i Mac računala. Za korisnike Maca, napad ih preusmjerava na lažnu stranicu za ažuriranje, gdje klik na gumb “Ažuriraj” preuzima zlonamjerni softver prikriven kao legitimno ažuriranje preglednika.

FrigidStealer prikuplja osjetljive informacije kao što su lozinke, kolačići i datoteke povezane s kriptovalutama. Zatim, malware šalje te podatke kibernetskim kriminalcima odgovornima za napad, kako objašnjavaju istraživači.

Iako su korisnici Maca rjeđi u poslovnim okruženjima nego korisnici Windowsa, ti napadi su sve češći.

Stručnjaci preporučuju snažne prakse kibernetičke sigurnosti za zaštitu od ovih prijetnji, uključujući korištenje zaštite krajnjih točaka, obuku zaposlenika da prepoznaju sumnjive aktivnosti i izbjegavanje klikanja na nepouzdane obavijesti o ažuriranju.