Nuova Minaccia alla Cybersecurity: Gli Utenti Mac Sono Presi di Mira con Aggiornamenti Falsi

I ricercatori di cybersecurity hanno scoperto due nuovi gruppi di cybercriminali, TA2726 e TA2727, responsabili del lancio di una crescente ondata di attacchi online, tra cui truffe di falsi aggiornamenti e malware che prendono di mira dispositivi Mac, Windows e Android.

Gli attacchi, che consistono nell’iniettare codice malevolo in siti web legittimi, ingannando gli utenti a scaricare software dannosi, stanno diventando sempre più diffusi.

Proofpoint, un team di ricerca sulla cybersecurity, ha pubblicato oggi un aggiornamento riguardo l’aumento di frequenza di queste campagne di “web inject”, che mirano a infettare gli utenti reindirizzandoli verso siti compromessi che sembrano affidabili.

I web injects coinvolgono tipicamente script maligni che si avviano quando un utente visita un sito web compromesso. Questi script possono costringere il sito web a mostrare notifiche di aggiornamenti falsi, ingannando l’utente a cliccare su un aggiornamento fraudolento che installa malware.

Questo tipo di attacco è diventato sempre più difficile da rintracciare a causa di numerosi attori che utilizzano lo stesso metodo e collaborano tra loro.

Storicamente, il gruppo TA569 era noto per l’utilizzo di falsi aggiornamenti come mezzo per infettare gli utenti con malware, ma nel 2023, diversi gruppi, tra cui TA2726 e TA2727, hanno iniziato a utilizzare tattiche simili, come spiegato da Proofpoint.

Questi attori diffondono malware attraverso siti web compromessi piuttosto che attraverso campagne di email, il che rende più difficile rilevare gli attacchi.

TA2726, ad esempio, funziona come un “distributore di traffico”, reindirizzando gli utenti verso varie campagne di malware. Questo gruppo collabora con attori motivati finanziariamente come TA569 e TA2727, che sfruttano siti web compromessi per diffondere malware. L’indagine di Proofpoint ha rivelato che dal settembre 2022, TA2726 è stato un attore chiave in questi attacchi.

D’altro canto, TA2727 si concentra sulla distribuzione di vari tipi di malware, tra cui uno strumento per il furto di informazioni chiamato FrigidStealer, che prende di mira gli utenti Mac.

Proofpoint nota che all’inizio del 2025, i ricercatori hanno osservato questo malware nelle campagne rivolte sia ai computer Windows che Mac. Per gli utenti Mac, l’attacco li reindirizza a una falsa pagina di aggiornamento, dove cliccando sul pulsante “Aggiorna” si scarica malware mascherato da un legittimo aggiornamento del browser.

FrigidStealer raccoglie informazioni sensibili come password, cookie e file relativi alle criptovalute. Successivamente, il malware invia questi dati ai cybercriminali responsabili dell’attacco, come spiegato dai ricercatori.

Sebbene gli utenti Mac siano meno comuni nelle aziende rispetto agli utenti Windows, questi attacchi stanno aumentando di frequenza.

Gli esperti raccomandano l’adozione di solide pratiche di cybersecurity per proteggersi da queste minacce, tra cui l’utilizzo di protezioni endpoint, la formazione dei dipendenti per riconoscere attività sospette e l’evitare di cliccare su notifiche di aggiornamento non affidabili.