Új kiberbiztonsági fenyegetés célozza meg a Mac felhasználókat hamis frissítésekkel

A kiberbiztonsági kutatók felfedezték a TA2726 és TA2727 nevű, új kibercsempész csoportokat, amelyek felelősek egy növekvő online támadáshullámért, beleértve hamis frissítési csalásokat és a Mac, Windows és Android eszközökre irányuló kártékony szoftvereket.

Azok a támadások, amelyek során kártékony kódokat injektálnak jogos weboldalakba, és ráveszik a felhasználókat káros szoftverek letöltésére, egyre elterjedtebbé válnak.

A Proofpoint, egy kiberbiztonsági kutatócsoport, ma közölte frissítését a “web beinjektálás” kampányok növekvő gyakoriságáról, melyek célja, hogy a felhasználókat megfertőzzék úgy, hogy őket megfertőzött oldalakra irányítják át, amelyek megbízhatónak tűnnek.

A web beinjektálások tipikusan rosszindulatú szkripteket tartalmaznak, amelyek akkor futnak le, amikor a felhasználó egy megfertőzött webhelyet látogat meg. Ezek a szkriptek arra kényszeríthetik a weboldalt, hogy hamis frissítési értesítéseket jelenítsen meg, becsapva a felhasználót, hogy rákattintson egy hamis frissítésre, amely malware-t telepít.

Ez a fajta támadás egyre nehezebben követhető nyomon, mivel több szereplő alkalmazza ugyanazt a módszert és együttműködnek egymással.

Történetileg a TA569 csoport volt ismert arról, hogy hamis frissítéseket használtak a felhasználók malware-rel való fertőzésére, de 2023-ban több csoport, beleértve a TA2726-ot és a TA2727-est, hasonló taktikákat kezdett alkalmazni, ahogy azt a Proofpoint magyarázza.

Ezek a színészek kártékony programokat terjesztenek kompromittált weboldalakon keresztül, nem pedig email kampányokon keresztül, ami nehezebbé teszi a támadások észlelését.

A TA2726 például “forgalmi elosztóként” működik, felhasználókat irányít át különböző kártékony programokat terjesztő kampányokba. Ez a csoport pénzügyi motivációval rendelkező szereplőkkel, mint a TA569 és TA2727, együttműködve használja ki a kompromittált weboldalakat a malware terjesztésére. A Proofpoint vizsgálata feltárta, hogy 2022 szeptembere óta a TA2726 kulcsszerepet játszik ezekben a támadásokban.

Másrészről, a TA2727 arra összpontosít, hogy különböző típusú kártékony szoftvereket szállítson, beleértve egy FrigidStealer nevű információlopót, amely a Mac felhasználókat célozza meg.

A Proofpoint azt jegyzi meg, hogy 2025 elején a kutatók ezt a kártékony szoftvert kampányokban figyelték meg, amelyek mind Windows, mind Mac számítógépekre irányultak. A Mac felhasználók esetében a támadás átirányítja őket egy hamis frissítési oldalra, ahol a “Frissítés” gombra kattintva kártékony szoftvert töltenek le, amely egy jogos böngészőfrissítésnek álcázva van.

A FrigidStealer érzékeny információkat gyűjt, mint például jelszavak, sütik és a kriptovalutához kapcsolódó fájlok. A kártevő ezután továbbítja ezeket az adatokat a támadásért felelős kiberbűnözőknek, ahogy azt a kutatók is elmagyarázták.

Bár a Mac felhasználók kevésbé gyakoriak a vállalati környezetben, mint a Windows felhasználók, ezek a támadások egyre gyakoribbak.

Szakértők erős kiberbiztonsági gyakorlatokat javasolnak ezekkel a fenyegetésekkel szemben, beleértve az végponti védelmet, a dolgozók képzését a gyanús tevékenységek felismerésére, és a megbízhatatlan frissítési értesítésekre való kattintás elkerülését.