Nová kybernetická hrozba cílí na uživatele Mac s falešnými aktualizacemi

Výzkumníci v oblasti kybernetické bezpečnosti odhalili dvě nové skupiny kyberzločinců, TA2726 a TA2727, které stojí za rostoucí vlnou online útoků, včetně podvodných aktualizací a škodlivého softwaru cílícího na zařízení Mac, Windows a Android.

Útoky, které spočívají v injektování škodlivého kódu do legitimních webových stránek a svádějí uživatele k stahování škodlivého softwaru, se stávají čím dál tím více rozšířené.

Proofpoint, tým pro výzkum kybernetické bezpečnosti, dnes zveřejnil aktualizaci o zvýšené frekvenci těchto „web inject“ kampaní, které mají za cíl infikovat uživatele přesměrováním na kompromitované stránky, které působí důvěryhodně.

Web injecty obvykle zahrnují škodlivé skripty, které se spustí, když uživatel navštíví kompromitovaný web. Tyto skripty mohou donutit webovou stránku zobrazit falešné upozornění na aktualizaci, které uživatele napálí a přiměje ho kliknout na podvodnou aktualizaci, která nainstaluje malware.

Tento typ útoku se stává stále obtížněji sledovatelným kvůli mnoha aktérům, kteří používají stejnou metodu a spolupracují mezi sebou.

Historicky byla skupina TA569 dobře známá tím, že používala falešné aktualizace jako způsob, jak uživatele infikovat malwarem, ale v roce 2023 začaly používat podobné taktiky několik skupin, včetně TA2726 a TA2727, jak vysvětlil Proofpoint.

Tito herci šíří malware prostřednictvím napadených webových stránek místo e-mailových kampaní, což detekci útoků činí náročnější.

TA2726 například funguje jako „distributér provozu“ a přesměrovává uživatele k různým kampaním s malwarem. Tato skupina spolupracuje s finančně motivovanými aktéry, jako jsou TA569 a TA2727, kteří využívají napadené webové stránky k šíření malware. Vyšetřování společnosti Proofpoint odhalilo, že od září 2022 se TA2726 stal klíčovým hráčem v těchto útocích.

Na druhou stranu se TA2727 zaměřuje na dodávání různých typů škodlivého softwaru, včetně nástroje pro krádež informací nazvaného FrigidStealer, který se zaměřuje na uživatele Macu.

Společnost Proofpoint poznamenává, že výzkumníci pozorovali tento škodlivý software v kampaních zaměřených na počítače s operačními systémy Windows i Mac na začátku roku 2025. Pro uživatele Macu útok přesměruje na falešnou stránku aktualizace, kde kliknutí na tlačítko „Aktualizovat“ stáhne škodlivý software maskovaný jako legitimní aktualizace prohlížeče.

FrigidStealer shromažďuje citlivé informace, jako jsou hesla, soubory cookies a soubory související s kryptoměnami. Jak vysvětlují výzkumníci, malware poté tato data odesílá kybernetickým zločincům odpovědným za útok.

Ačkoli jsou uživatelé Macu v korporátním prostředí méně běžní než uživatelé Windows, tyto útoky se stále častěji objevují.

Odborníci doporučují silné kybernetické bezpečnostní postupy pro ochranu před těmito hrozbami, včetně využití ochrany koncových bodů, školení zaměstnanců na rozpoznání podezřelé aktivity a vyhýbání se klikání na nedůvěryhodné upozornění na aktualizace.