Neue Cybersicherheitsbedrohung zielt auf Mac-Nutzer mit gefälschten Updates ab

Cybersicherheitsforscher haben zwei neue kriminelle Cybergruppen, TA2726 und TA2727, aufgedeckt, die für eine wachsende Welle von Online-Angriffen verantwortlich sind, einschließlich gefälschter Update-Betrügereien und Malware, die Geräte mit Mac, Windows und Android ins Visier nehmen.

Die Angriffe, bei denen schädlicher Code in legitime Websites eingeschleust wird, um Nutzer dazu zu verleiten, schädliche Software herunterzuladen, nehmen immer mehr zu.

Proofpoint, ein Forschungsteam für Cybersicherheit, veröffentlichte heute ein Update über die zunehmende Häufigkeit dieser „Web Inject“-Kampagnen, die darauf abzielen, Nutzer zu infizieren, indem sie auf kompromittierte Seiten umgeleitet werden, die vertrauenswürdig erscheinen.

Web Injects beinhalten typischerweise bösartige Skripte, die ausgeführt werden, wenn ein Benutzer eine kompromittierte Website besucht. Diese Skripte können die Website dazu zwingen, gefälschte Update-Benachrichtigungen anzuzeigen und den Benutzer dazu zu verleiten, auf ein betrügerisches Update zu klicken, das Malware installiert.

Diese Art von Angriff ist aufgrund der Zusammenarbeit mehrerer Akteure, die dieselbe Methode anwenden, zunehmend schwieriger zu verfolgen.

Historisch gesehen war die Gruppe TA569 dafür bekannt, gefälschte Updates als Mittel zur Infektion von Nutzern mit Malware zu verwenden, aber im Jahr 2023 begannen mehrere Gruppen, darunter TA2726 und TA2727, ähnliche Taktiken anzuwenden, wie von Proofpoint erläutert.

Diese Schauspieler verteilen Malware über kompromittierte Websites statt über E-Mail-Kampagnen, was die Erkennung der Angriffe schwieriger macht.

TA2726 fungiert beispielsweise als „Traffic-Distributor“, der Nutzer zu verschiedenen Malware-Kampagnen umleitet. Diese Gruppe arbeitet mit finanziell motivierten Akteuren wie TA569 und TA2727 zusammen, die kompromittierte Websites nutzen, um Malware zu verbreiten. Die Untersuchung von Proofpoint ergab, dass TA2726 seit September 2022 eine Schlüsselrolle bei diesen Angriffen spielt.

Andererseits konzentriert sich TA2727 auf die Bereitstellung verschiedener Arten von Malware, einschließlich eines Informationdiebes namens FrigidStealer, der Mac-Nutzer ins Visier nimmt.

Proofpoint weist darauf hin, dass Forscher diese Malware Anfang 2025 in Kampagnen beobachtet haben, die sowohl auf Windows- als auch auf Mac-Computer abzielen. Für Mac-Nutzer leitet der Angriff sie auf eine gefälschte Update-Seite um, wo das Anklicken des „Update“-Knopfes Malware herunterlädt, die als legitimes Browser-Update getarnt ist.

FrigidStealer sammelt sensible Daten wie Passwörter, Cookies und Dateien, die mit Kryptowährung in Verbindung stehen. Die Malware sendet diese Daten dann an die Cyberkriminellen, die für den Angriff verantwortlich sind, wie die Forscher erklären.

Obwohl Mac-Benutzer in Unternehmensumgebungen weniger verbreitet sind als Windows-Benutzer, nehmen diese Angriffe immer mehr zu.

Experten empfehlen starke Cybersicherheitspraktiken zum Schutz vor diesen Bedrohungen, einschließlich der Verwendung von Endpunktschutz, der Schulung von Mitarbeitern zur Erkennung verdächtiger Aktivitäten und dem Vermeiden von Klicks auf nicht vertrauenswürdige Update-Benachrichtigungen.