Mối Đe Dọa Mới Về An Ninh Mạng Nhắm vào Người Dùng Mac Bằng Cách Cung Cấp Các Bản Cập Nhật Giả Mạo

Các nhà nghiên cứu an ninh mạng đã phát hiện ra hai nhóm tội phạm mạng mới, TA2726 và TA2727, chịu trách nhiệm cho việc phát động một làn sóng tấn công trực tuyến ngày càng tăng, bao gồm các phi vụ lừa đảo cập nhật giả và phần mềm độc hại nhắm vào các thiết bị Mac, Windows và Android.

Những cuộc tấn công, bao gồm việc tiêm mã độc vào các trang web hợp pháp, lừa dụ người dùng tải về phần mềm độc hại, đang ngày càng phổ biến hơn.

Proofpoint, một nhóm nghiên cứu về an ninh mạng, hôm nay đã công bố một cập nhật về tần suất gia tăng của những chiến dịch “tiêm độc web”, mục tiêu là lây nhiễm cho người dùng bằng cách chuyển hướng họ đến các trang web đã bị xâm nhập mà có vẻ đáng tin cậy.

Tiêm độc web thường liên quan đến các kịch bản độc hại chạy khi một người dùng truy cập một trang web đã bị xâm nhập. Những kịch bản này có thể buộc trang web hiển thị thông báo cập nhật giả mạo, dụ dỗ người dùng nhấp vào một cập nhật giả mạo để cài đặt phần mềm độc hại.

Loại tấn công này ngày càng trở nên khó theo dõi do nhiều diễn viên sử dụng cùng một phương pháp và hợp tác với nhau.

Trước đây, nhóm TA569 đã nổi tiếng với việc sử dụng các bản cập nhật giả mạo như một cách để lây nhiễm malware cho người dùng, nhưng vào năm 2023, một số nhóm, bao gồm TA2726 và TA2727, đã bắt đầu sử dụng các chiến lược tương tự, như đã được giải thích bởi Proofpoint.

Những diễn viên này phân phối malware thông qua các trang web bị xâm nhập thay vì các chiến dịch email, điều này làm cho việc phát hiện các cuộc tấn công trở nên khó khăn hơn.

TA2726, ví dụ, hoạt động như một “phân phối lưu lượng truy cập,” đang chuyển hướng người dùng đến các chiến dịch malware khác nhau. Nhóm này làm việc với những diễn viên có động cơ tài chính như TA569 và TA2727, những người tận dụng các trang web bị xâm nhập để lây lan malware. Cuộc điều tra của Proofpoint đã tiết lộ rằng từ tháng 9 năm 2022, TA2726 đã là một nhân vật chủ chốt trong những cuộc tấn công này.

Mặt khác, TA2727 tập trung vào việc cung cấp các loại malware khác nhau, bao gồm một loại trộm thông tin được gọi là FrigidStealer, nhắm mục tiêu vào người dùng Mac.

Proofpoint ghi nhận rằng vào đầu năm 2025, các nhà nghiên cứu đã phát hiện malware này trong các chiến dịch nhắm vào cả máy tính Windows và Mac. Đối với người dùng Mac, cuộc tấn công sẽ chuyển hướng họ đến một trang cập nhật giả mạo, nơi nhấp vào nút “Cập nhật” sẽ tải về malware giả mạo như một bản cập nhật trình duyệt hợp pháp.

FrigidStealer thu thập thông tin nhạy cảm như mật khẩu, cookie và các tệp liên quan đến tiền điện tử. Sau đó, phần mềm độc này gửi dữ liệu này cho các tội phạm mạng chịu trách nhiệm cho cuộc tấn công, như các nhà nghiên cứu đã giải thích.

Mặc dù người dùng Mac ít hơn người dùng Windows trong môi trường doanh nghiệp, nhưng những cuộc tấn công này đang tăng lên về tần suất.

Các chuyên gia khuyến nghị thực hiện các biện pháp an ninh mạng mạnh mẽ để bảo vệ khỏi những mối đe dọa này, bao gồm việc sử dụng bảo vệ điểm cuối, đào tạo nhân viên nhận biết hoạt động đáng ngờ và tránh nhấp vào thông báo cập nhật không đáng tin cậy.