Uusi kyberturvallisuusuhanilmiö kohdistuu Mac-käyttäjiin väärennetyillä päivityksillä

Kyberturvallisuustutkijat ovat paljastaneet kaksi uutta kyberrikollisryhmää, TA2726 ja TA2727, jotka ovat vastuussa kasvavasta online-hyökkäysten aallosta, mukaan lukien väärennetyt päivityshuijaukset ja haittaohjelmat, jotka kohdistuvat Mac-, Windows- ja Android-laitteisiin.

Hyökkäykset, joissa injektoidaan haitallista koodia laillisiin verkkosivustoihin ja huijataan käyttäjiä lataamaan haitallista ohjelmistoa, yleistyvät.

Proofpoint, kyberturvallisuuden tutkimusryhmä, julkaisi tänään päivityksen koskien näiden ”web inject” -kampanjoiden lisääntynyttä taajuutta, joiden tavoitteena on saastuttaa käyttäjät ohjaamalla heidät kompromisoituihin sivustoihin, jotka vaikuttavat luotettavilta.

Web injectit sisältävät tyypillisesti haitallisia skriptejä, jotka suoritetaan, kun käyttäjä vierailee kompromisoituneella verkkosivustolla. Nämä skriptit voivat pakottaa verkkosivuston näyttämään vääriä päivitysilmoituksia, huijaten käyttäjän napsauttamaan petollista päivitystä, joka asentaa haittaohjelman.

Tämän tyyppisen hyökkäyksen seuraaminen on muuttunut yhä vaikeammaksi, sillä useat toimijat käyttävät samaa menetelmää ja tekevät yhteistyötä keskenään.

Historiallisesti ryhmä TA569 oli tunnettu siitä, että se käytti väärennettyjä päivityksiä tapana tartuttaa käyttäjiä haittaohjelmilla, mutta vuonna 2023 useat ryhmät, mukaan lukien TA2726 ja TA2727, alkoivat käyttää samankaltaisia taktiikoita, kuten Proofpoint selittää.

Nämä näyttelijät levittävät haittaohjelmia kompromisoitujen verkkosivustojen kautta, ei sähköpostikampanjoiden, mikä tekee hyökkäysten havaitsemisen haastavammaksi.

TA2726 toimii esimerkiksi ”liikenteen jakelijana”, ohjaten käyttäjät eri haittaohjelmakampanjoihin. Tämä ryhmä työskentelee yhdessä taloudellisesti motivoituneiden toimijoiden, kuten TA569:n ja TA2727:n kanssa, jotka hyödyntävät kompromisoituja verkkosivustoja haittaohjelmien levittämiseen. Proofpointin tutkimus paljasti, että TA2726 on ollut avainasemassa näissä hyökkäyksissä syyskuusta 2022 lähtien.

Toisaalta TA2727 keskittyy toimittamaan erityyppisiä haittaohjelmia, mukaan lukien tietojen varastamiseen tarkoitetun FrigidStealer-nimisen ohjelman, joka kohdistuu Mac-käyttäjiin.

Proofpoint huomauttaa, että vuoden 2025 alkupuolella tutkijat havaitsivat tämän haittaohjelman kampanjoissa, jotka kohdistuivat sekä Windows- että Mac-tietokoneisiin. Mac-käyttäjille hyökkäys ohjaa heidät väärennetylle päivityssivulle, jossa ”Päivitä” -painiketta napsauttamalla ladataan haittaohjelma, joka on naamioitu lailliseksi selaimen päivitykseksi.

FrigidStealer kerää herkkiä tietoja, kuten salasanoja, evästeitä ja kryptovaluuttaan liittyviä tiedostoja. Tämän jälkeen haittaohjelma lähettää nämä tiedot hyökkäyksestä vastuussa oleville kyberrikollisille, kuten tutkijat ovat selittäneet.

Vaikka Mac-käyttäjät ovat yritysympäristöissä harvinaisempia kuin Windows-käyttäjät, nämä hyökkäykset ovat lisääntymässä.

Asiantuntijat suosittelevat vahvoja kyberturvallisuuskäytäntöjä suojautuakseen näitä uhkia vastaan. Tähän kuuluu muun muassa loppukäyttäjän suojauksen käyttäminen, työntekijöiden kouluttaminen tunnistamaan epäilyttävä toiminta ja välttämään luottamattomien päivitysilmoitusten napsauttamista.