Ny Cybersikkerhedstrussel Målretter Mac Brugere Med Falske Opdateringer

Cybersikkerhedsforskere har afdækket to nye cyberkriminelle grupper, TA2726 og TA2727, der står bag en stigende bølge af online angreb, herunder falske opdateringssvindel og malware, der retter sig mod Mac, Windows og Android-enheder.

Angrebene, som involverer injektion af ondsindet kode i legitime hjemmesider, narrer brugere til at downloade skadelig software, og bliver mere udbredt.

Proofpoint, et team af cybersikkerhedsforskere, offentliggjorde i dag en opdatering om den øgede frekvens af disse “web inject”-kampagner, der har til formål at inficere brugere ved at omdirigere dem til kompromitterede sider, der synes troværdige.

Web injects involverer typisk skadelige scripts, der kører, når en bruger besøger et kompromitteret websted. Disse scripts kan tvinge websitet til at vise falske opdateringsmeddelelser, hvilket narre brugeren til at klikke på en svigagtig opdatering, som installerer malware.

Denne type angreb er blevet stadig sværere at spore på grund af flere aktører, der bruger den samme metode og samarbejder med hinanden.

Historisk set var gruppen TA569 kendt for at bruge falske opdateringer som en måde at inficere brugere med malware på, men i 2023 begyndte flere grupper, herunder TA2726 og TA2727, at bruge lignende taktikker, som forklaret af Proofpoint.

Disse skuespillere distribuerer malware gennem kompromitterede hjemmesider i stedet for e-mail-kampagner, hvilket gør det mere udfordrende at opdage angrebene.

TA2726 fungerer for eksempel som en “trafikdistributør”, der omdirigerer brugere til forskellige malware-kampagner. Denne gruppe arbejder sammen med økonomisk motiverede aktører som TA569 og TA2727, der udnytter kompromitterede hjemmesider til at sprede malware. Proofpoint’s undersøgelse afslørede, at TA2726 siden september 2022 har været en nøgleaktør i disse angreb.

På den anden side fokuserer TA2727 på at levere forskellige typer malware, herunder en informationsstjæler kaldet FrigidStealer, som retter sig mod Mac-brugere.

Proofpoint bemærker, at forskere i begyndelsen af 2025 observerede denne malware i kampagner rettet mod både Windows og Mac-computere. For Mac-brugere omdirigerer angrebet dem til en falsk opdateringsside, hvor et klik på “Opdater” knappen downloader malware forklædt som en legitim browseropdatering.

FrigidStealer indsamler følsomme oplysninger som adgangskoder, cookies, og filer relateret til kryptovaluta. Malwaren sender derefter disse data til de cyberkriminelle, der er ansvarlige for angrebet, som forskerne har forklaret.

Selvom Mac-brugere er mindre almindelige i erhvervsmiljøer end Windows-brugere, er disse angreb stigende i frekvens.

Eksperter anbefaler stærke cybersikkerhedspraksis for at beskytte mod disse trusler, herunder brug af endpoint-beskyttelse, træning af medarbejdere til at genkende mistænkelig aktivitet, og undgå at klikke på upålidelige opdateringsmeddelelser.