Νέα Απειλή Κυβερνοασφάλειας Στοχεύει τους Χρήστες του Mac Με Ψεύτικες Ενημερώσεις

Οι ερευνητές κυβερνοασφάλειας έχουν αποκαλύψει δύο νέες κυβερνοεγκληματικές ομάδες, την TA2726 και την TA2727, που είναι υπεύθυνες για την εκτόξευση μιας αυξανόμενης κυματοειδούς επίθεσης στο διαδίκτυο, περιλαμβανομένων ψευδών ενημερώσεων και κακόβουλου λογισμικού που στοχεύουν συσκευές Mac, Windows και Android.

Οι επιθέσεις, οι οποίες περιλαμβάνουν την εισαγωγή κακόβουλου κώδικα σε νόμιμες ιστοσελίδες, ξεγελούν τους χρήστες να κατεβάζουν επιβλαβές λογισμικά, γίνονται όλο και πιο ευρείες.

Η Proofpoint, μια ομάδα έρευνας κυβερνοασφάλειας, δημοσίευσε σήμερα μια ενημέρωση σχετικά με την αυξημένη συχνότητα αυτών των «web inject» εκστρατειών, οι οποίες στοχεύουν στη μόλυνση των χρηστών μεταφέροντάς τους σε διεισδυμένους ιστότοπους που φαίνονται αξιόπιστοι.

Τα web injects συνήθως περιλαμβάνουν επιβλαβή scripts που εκτελούνται όταν ένας χρήστης επισκέπτεται έναν διεισδυμένο ιστότοπο. Αυτά τα scripts μπορούν να αναγκάσουν τον ιστότοπο να εμφανίζει ψεύτικες ειδοποιήσεις ενημέρωσης, παραπλανώντας τον χρήστη να κάνει κλικ σε μια απατηλή ενημέρωση που εγκαθιστά κακόβουλο λογισμικό.

Αυτού του είδους η επίθεση έχει γίνει ολοένα και πιο δύσκολο να παρακολουθηθεί λόγω του πολλαπλών δρώντων που χρησιμοποιούν την ίδια μέθοδο και συνεργάζονται μεταξύ τους.

Ιστορικά, η ομάδα TA569 ήταν γνωστή για τη χρήση ψευδών ενημερώσεων ως τρόπος για να μολύνει τους χρήστες με κακόβουλο λογισμικό, αλλά το 2023, αρκετές ομάδες, συμπεριλαμβανομένων των TA2726 και TA2727, άρχισαν να χρησιμοποιούν παρόμοιες τακτικές, όπως εξήγησε η Proofpoint.

Αυτοί οι ηθοποιοί διανέμουν κακόβουλο λογισμικό μέσω παραβιασμένων ιστοσελίδων αντί για εκστρατείες μέσω email, κάτι που καθιστά τον εντοπισμό των επιθέσεων πιο δύσκολο.

Το TA2726, για παράδειγμα, λειτουργεί ως «διανομέας της κυκλοφορίας», ανακατευθύνοντας τους χρήστες σε διάφορες εκστρατείες κακόβουλου λογισμικού. Αυτή η ομάδα συνεργάζεται με οικονομικά κινητοποιημένους ηθοποιούς όπως το TA569 και το TA2727, οι οποίοι εκμεταλλεύονται παραβιασμένες ιστοσελίδες για να διαδώσουν κακόβουλο λογισμικό. Η έρευνα της Proofpoint αποκάλυψε ότι από τον Σεπτέμβριο του 2022, το TA2726 έχει είναι κύριος παίκτης σε αυτές τις επιθέσεις.

Από την άλλη πλευρά, το TA2727 επικεντρώνεται στην παράδοση διαφόρων τύπων κακόβουλου λογισμικού, συμπεριλαμβανομένου ενός λογισμικού κλοπής πληροφοριών που ονομάζεται FrigidStealer, το οποίο στοχεύει τους χρήστες Mac.

Η Proofpoint σημειώνει ότι το 2025, οι ερευνητές παρατήρησαν αυτό το κακόβουλο λογισμικό σε εκστρατείες που στοχεύουν και σε υπολογιστές Windows και Mac. Για τους χρήστες Mac, η επίθεση τους ανακατευθύνει σε μια ψεύτικη σελίδα ενημέρωσης, όπου κάνοντας κλικ στο κουμπί «Ενημέρωση» κατεβάζουν κακόβουλο λογισμικό που είναι μεταμφιεσμένο ως έγκυρη ενημέρωση του προγράμματος περιήγησης.

Το FrigidStealer συλλέγει ευαίσθητες πληροφορίες όπως κωδικούς πρόσβασης, cookies και αρχεία που σχετίζονται με το κρυπτονόμισμα. Το κακόβουλο λογισμικό στέλνει στη συνέχεια αυτά τα δεδομένα στους υπολογιστικούς εγκληματίες που είναι υπεύθυνοι για την επίθεση, όπως εξηγούν οι ερευνητές.

Ενώ οι χρήστες Mac είναι λιγότερο συχνοί στα εταιρικά περιβάλλοντα από τους χρήστες των Windows, αυτές οι επιθέσεις αυξάνονται σε συχνότητα.

Οι ειδικοί συνιστούν ισχυρές πρακτικές κυβερνοασφάλειας για την προστασία από αυτές τις απειλές, περιλαμβάνοντας τη χρήση προστασίας τερματικών σημείων, την εκπαίδευση των υπαλλήλων να αναγνωρίζουν ύποπτη δραστηριότητα και την αποφυγή κλικ σε ειδοποιήσεις ενημέρωσης που δεν είναι αξιόπιστες.