Новая угроза в области кибербезопасности: пользователи Mac стали целью поддельных обновлений

Исследователи в области кибербезопасности обнаружили две новые киберпреступные группы, TA2726 и TA2727, ответственные за запуск растущей волны онлайн-атак, включая мошенничество с поддельными обновлениями и вредоносное ПО, нацеленное на устройства Mac, Windows и Android.

Атаки, которые заключаются в внедрении вредоносного кода на законные веб-сайты, обманным путем заставляя пользователей скачивать вредоносное программное обеспечение, становятся все более распространенными.

Proofpoint, команда исследователей в области кибербезопасности, сегодня опубликовала обновление о возросшей частоте так называемых «веб-инжектов» — кампаний, целью которых является заражение пользователей путем перенаправления их на скомпрометированные сайты, которые казалось бы доверительными.

Веб-инжекты обычно включают в себя вредоносные скрипты, которые запускаются, когда пользователь посещает скомпрометированный сайт. Эти скрипты могут заставить сайт отображать поддельные уведомления об обновлениях, введя пользователя в заблуждение и заставив его кликнуть по мошенническому обновлению, которое устанавливает вредоносное ПО.

Этот тип атаки становится все более сложным для отслеживания из-за множества актеров, использующих один и тот же метод и сотрудничающих друг с другом.

Исторически группа TA569 была известна использованием поддельных обновлений в качестве способа заражения пользователей вредоносным ПО, но в 2023 году несколько групп, включая TA2726 и TA2727, начали использовать аналогичные тактики, как объясняет Proofpoint.

Эти актёры распространяют вредоносное ПО через скомпрометированные веб-сайты, а не через электронные рассылки, что усложняет обнаружение атак.

TA2726, например, функционирует как «дистрибьютор трафика», перенаправляя пользователей на различные кампании по распространению вредоносного ПО. Эта группа сотрудничает с актёрами, мотивированными финансовыми интересами, такими как TA569 и TA2727, которые используют скомпрометированные веб-сайты для распространения вредоносного ПО. Расследование Proofpoint показало, что с сентября 2022 года TA2726 играет ключевую роль в этих атаках.

С другой стороны, TA2727 сосредоточен на доставке различных типов вредоносного ПО, включая информационный вор, называемый FrigidStealer, который нацелен на пользователей Mac.

Proofpoint отмечает, что в начале 2025 года исследователи наблюдали это вредоносное ПО в кампаниях, нацеленных как на компьютеры с Windows, так и на Mac. Для пользователей Mac атака перенаправляет их на фальшивую страницу обновления, где при нажатии на кнопку «Обновить» загружается вредоносное ПО, маскирующееся под легитимное обновление браузера.

FrigidStealer собирает конфиденциальную информацию, такую как пароли, куки и файлы, связанные с криптовалютой. Затем вредоносное ПО отправляет эти данные киберпреступникам, ответственным за атаку, как объясняют исследователи.

Хотя пользователи Mac в корпоративной среде встречаются реже, чем пользователи Windows, эти атаки становятся все более частыми.

Эксперты рекомендуют строгое соблюдение правил кибербезопасности для защиты от подобных угроз, включая использование защиты конечных точек, обучение сотрудников узнавать подозрительную активность и избегание кликания по ненадежным уведомлениям об обновлениях.