Nytt Cybersäkerhetshot Riktar Sig Mot Mac-Användare Med Falska Uppdateringar

Cybersäkerhetsforskare har upptäckt två nya cyberbrottsgrupper, TA2726 och TA2727, ansvariga för en växande våg av onlineattacker, inklusive falska uppdateringsbedrägerier och skadlig programvara som riktar sig mot Mac, Windows och Android-enheter.

Attackerna, som innebär att skadlig kod injiceras i legitima webbplatser, lurar användare att ladda ner skadlig programvara, blir allt mer utbredda.

Proofpoint, ett forskningsteam inom cybersäkerhet, publicerade idag en uppdatering om den ökade frekvensen av dessa ”web inject”-kampanjer, som syftar till att infektera användare genom att omdirigera dem till komprometterade webbplatser som verkar pålitliga.

Web injects innebär vanligtvis skadliga skript som kör när en användare besöker en komprometterad webbplats. Dessa skript kan tvinga webbplatsen att visa falska uppdateringsmeddelanden, vilket lurar användaren att klicka på en bedräglig uppdatering som installerar skadlig programvara.

Denna typ av attack har blivit allt svårare att spåra på grund av att flera aktörer använder samma metod och samarbetar med varandra.

Historiskt sett var gruppen TA569 välkänd för att använda falska uppdateringar som ett sätt att infektera användare med skadlig programvara, men 2023 började flera grupper, inklusive TA2726 och TA2727, att använda liknande taktiker, som förklaras av Proofpoint.

Dessa skådespelare distribuerar skadlig programvara genom komprometterade webbplatser snarare än genom e-postkampanjer, vilket gör det svårare att upptäcka attackerna.

TA2726 fungerar till exempel som en ”trafikdistributör”, som omdirigerar användare till olika skadliga programvarukampanjer. Denna grupp samarbetar med ekonomiskt motiverade aktörer som TA569 och TA2727, som utnyttjar komprometterade webbplatser för att sprida skadlig programvara. Proofpoints undersökning visade att sedan september 2022 har TA2726 varit en nyckelaktör i dessa attacker.

Å andra sidan fokuserar TA2727 på att leverera olika typer av skadlig programvara, inklusive en informationssnattare kallad FrigidStealer, som riktar sig mot Mac-användare.

Proofpoint noterar att forskare observerade denna skadliga programvara i kampanjer riktade mot både Windows- och Mac-datorer i början av 2025. För Mac-användare omdirigerar attacken dem till en falsk uppdateringssida, där ett klick på ”Uppdatera”-knappen laddar ner skadlig programvara förklädd till en legitim webbläsaruppdatering.

FrigidStealer samlar in känslig information som lösenord, cookies och filer relaterade till kryptovaluta. Skadeprogrammet skickar sedan denna data till de cyberbrottslingar som är ansvariga för attacken, som forskarna förklarar.

Även om Mac-användare är mindre vanliga i företagsmiljöer än Windows-användare, ökar dessa attacker i frekvens.

Experter rekommenderar starka cybersäkerhetsrutiner för att skydda mot dessa hot, inklusive användning av slutpunktskydd, att utbilda anställda att känna igen misstänkt aktivitet och att undvika att klicka på opålitliga uppdateringsmeddelanden.