Nieuwe Cybersecurity Dreiging Richt zich op Mac Gebruikers met Valse Updates

Cybersecurity onderzoekers hebben twee nieuwe cybercriminele groepen ontdekt, TA2726 en TA2727, verantwoordelijk voor het lanceren van een groeiende golf van online aanvallen, waaronder nep-update scams en malware gericht op Mac, Windows en Android apparaten.

De aanvallen, waarbij kwaadaardige code in legitieme websites wordt geïnjecteerd, misleiden gebruikers om schadelijke software te downloaden, worden steeds vaker verspreid.

Proofpoint, een onderzoeksteam op het gebied van cyberbeveiliging, publiceerde vandaag een update over de toegenomen frequentie van deze “web inject”-campagnes, die erop gericht zijn gebruikers te infecteren door hen om te leiden naar gecompromitteerde sites die betrouwbaar lijken.

Web injects bevatten doorgaans kwaadaardige scripts die worden uitgevoerd wanneer een gebruiker een gecompromitteerde website bezoekt. Deze scripts kunnen de website dwingen om valse update-meldingen te tonen, waarmee de gebruiker wordt misleid om op een frauduleuze update te klikken die malware installeert.

Dit type aanval is steeds moeilijker te volgen geworden vanwege meerdere actoren die dezelfde methode gebruiken en met elkaar samenwerken.

Historisch gezien stond de groep TA569 bekend om het gebruik van valse updates als een manier om gebruikers met malware te infecteren, maar in 2023 begonnen verschillende groepen, waaronder TA2726 en TA2727, vergelijkbare tactieken te gebruiken, zoals uitgelegd door Proofpoint.

Deze acteurs verspreiden malware via gecompromitteerde websites in plaats van via e-mailcampagnes, wat het detecteren van de aanvallen moeilijker maakt.

TA2726 fungeert bijvoorbeeld als een “verkeersdistributeur”, die gebruikers omleidt naar verschillende malware-campagnes. Deze groep werkt samen met financieel gemotiveerde acteurs zoals TA569 en TA2727, die gebruik maken van gecompromitteerde websites om malware te verspreiden. Uit het onderzoek van Proofpoint is gebleken dat TA2726 sinds september 2022 een belangrijke speler is geweest in deze aanvallen.

Aan de andere kant richt TA2727 zich op het leveren van verschillende soorten malware, waaronder een informatie-dief genaamd FrigidStealer, die zich richt op Mac-gebruikers.

Proofpoint merkt op dat onderzoekers deze malware begin 2025 hebben waargenomen in campagnes gericht op zowel Windows als Mac-computers. Voor Mac-gebruikers leidt de aanval hen naar een valse update-pagina, waar het klikken op de “Update” knop malware downloadt die vermomd is als een legitieme browser-update.

FrigidStealer verzamelt gevoelige informatie zoals wachtwoorden, cookies en bestanden gerelateerd aan cryptocurrency. De malware stuurt vervolgens deze gegevens naar de cybercriminelen die verantwoordelijk zijn voor de aanval, aldus de onderzoekers.

Hoewel Mac-gebruikers minder vaak voorkomen in bedrijfsomgevingen dan Windows-gebruikers, nemen deze aanvallen toe in frequentie.

Experts raden sterke cybersecurity praktijken aan om tegen deze bedreigingen te beschermen, waaronder het gebruik van endpoint-beveiliging, het opleiden van medewerkers om verdachte activiteiten te herkennen en het vermijden van klikken op onbetrouwbare update-meldingen.