Ny Cybersecurity-trussel Målretter Mac-brukere Med Falske Oppdateringer

Cybersikkerhetsforskere har avdekket to nye cyberkriminelle grupper, TA2726 og TA2727, ansvarlige for å starte en økende bølge av nettangrep, inkludert falske oppdateringssvindel og skadelig programvare rettet mot Mac, Windows og Android-enheter.

Angrepene, som innebærer å injisere ondsinnet kode i legitime nettsteder, lurer brukerne til å laste ned skadelig programvare, blir stadig mer utbredt.

Proofpoint, et team for cybersikkerhetsforskning, publiserte i dag en oppdatering om den økte frekvensen av disse «web inject»-kampanjene, som har som mål å infisere brukere ved å omdirigere dem til kompromitterte nettsteder som ser tillitsvekkende ut.

Web injects innebærer vanligvis ondsinnede skript som kjører når en bruker besøker et kompromittert nettsted. Disse skriptene kan tvinge nettstedet til å vise falske oppdateringsvarsler, og lure brukeren til å klikke på en falsk oppdatering som installerer skadelig programvare.

Denne typen angrep har blitt stadig vanskeligere å spore på grunn av flere aktører som bruker samme metode og samarbeider med hverandre.

Historisk sett var gruppen TA569 kjent for å bruke falske oppdateringer som en måte å infisere brukere med skadelig programvare på, men i 2023 begynte flere grupper, inkludert TA2726 og TA2727, å bruke lignende taktikker, som forklart av Proofpoint.

Disse skuespillerne distribuerer skadelig programvare gjennom kompromitterte nettsteder i stedet for e-postkampanjer, noe som gjør det vanskeligere å oppdage angrepene.

TA2726, fungerer for eksempel som en «trafikkdistributør», og omdirigerer brukere til forskjellige skadelige programvarekampanjer. Denne gruppen samarbeider med økonomisk motiverte aktører som TA569 og TA2727, som utnytter kompromitterte nettsteder for å spre skadelig programvare. Proofpoints undersøkelse avdekket at siden september 2022 har TA2726 vært en nøkkelspiller i disse angrepene.

På den annen side fokuserer TA2727 på å levere forskjellige typer skadelig programvare, inkludert en informasjonstyv kalt FrigidStealer, som retter seg mot Mac-brukere.

Proofpoint merker seg at forskere i begynnelsen av 2025 observerte denne skadelige programvaren i kampanjer rettet mot både Windows- og Mac-datamaskiner. For Mac-brukere omdirigerer angrepet dem til en falsk oppdateringsside, hvor det å klikke på «Oppdater»-knappen laster ned skadelig programvare forkledd som en legitim nettleseroppdatering.

FrigidStealer samler inn sensitiv informasjon som passord, informasjonskapsler, og filer relatert til kryptovaluta. Malware-programmet sender deretter denne dataen til de nettkriminelle som er ansvarlige for angrepet, som forklart av forskerne.

Selv om Mac-brukere er mindre vanlige i bedriftsmiljøer enn Windows-brukere, er slike angrep økende i frekvens.

Eksperter anbefaler sterke kyber-sikkerhetsrutiner for å beskytte mot disse truslene, inkludert bruk av endepunktsbeskyttelse, opplæring av ansatte i å gjenkjenne mistenkelig aktivitet, og å unngå å klikke på upålitelige oppdateringsvarsler.