تهدد خطرة الأمن السيبراني الجديدة مستخدمي Mac بتحديثات مزيفة

كشف باحثو الأمن السيبراني عن اكتشافهم لمجموعتين جديدتين من المجرمين الإلكترونيين، TA2726 وTA2727، المسؤولتين عن تنفيذ موجة متزايدة من الهجمات عبر الإنترنت، بما في ذلك عمليات الاحتيال المتعلقة بالتحديثات الوهمية والبرمجيات الخبيثة التي تستهدف أجهزة Mac وWindows وAndroid.

الهجمات، التي تتضمن حقن الأكواد الخبيثة في المواقع الإلكترونية الشرعية، تخدع المستخدمين لتنزيل برامج ضارة، وتصبح أكثر انتشاراً.

نشر فريق Proofpoint للأبحاث الأمنية السيبرانية اليوم تحديثًا حول تزايد تكرار حملات “إدخال الويب”، التي تهدف إلى إصابة المستخدمين عن طريق توجيههم إلى مواقع مخترقة تبدو موثوقة.

تنطوي حملات إدخال الويب عادة على سكربتات خبيثة تعمل عندما يزور المستخدم موقعًا ويبًا مخترقًا. يمكن لهذه السكربتات أن تجبر الموقع على عرض إشعارات تحديث وهمية، مما يخدع المستخدم للنقر على تحديث غير حقيقي يقوم بتثبيت البرامج الخبيثة.

أصبح هذا النوع من الهجمات أكثر صعوبة في التعقب بسبب استخدام عدة أطراف لنفس الأسلوب وتعاونهم مع بعضهم البعض.

تاريخيا، كانت المجموعة TA569 مشهورة بإستخدام التحديثات الوهمية كوسيلة لإصابة المستخدمين بالبرامج الخبيثة، لكن في عام 2023، بدأت عدة مجموعات، بما فيها TA2726 وTA2727، في استخدام تكتيكات مشابهة، كما أوضحت Proofpoint.

تقوم هؤلاء الممثلين بتوزيع البرامج الضارة من خلال المواقع المخترقة بدلاً من حملات البريد الإلكتروني، مما يجعل اكتشاف الهجمات أكثر تحدياً.

تعمل TA2726، على سبيل المثال، كـ “موزع للحركة”، حيث تقوم بتوجيه المستخدمين إلى حملات البرامج الضارة المختلفة. تعمل هذه المجموعة مع الممثلين الذين يتحركون من منطلق مالي مثل TA569 وTA2727، الذين يستغلون المواقع المخترقة لنشر البرامج الضارة. أظهرت التحقيقات التي أجرتها Proofpoint أن TA2726 كانت لاعبًا رئيسيًا في هذه الهجمات منذ سبتمبر 2022.

من ناحية أخرى، يركز TA2727 على توصيل أنواع مختلفة من البرامج الخبيثة، بما في ذلك سارق المعلومات المسمى FrigidStealer، الذي يستهدف مستخدمي Mac.

تلاحظ Proofpoint أن الباحثين رصدوا هذا البرنامج الخبيث في حملات استهدفت أجهزة الكمبيوتر التي تعمل بنظامي Windows وMac في أوائل عام 2025. بالنسبة لمستخدمي Mac، يوجه الهجوم إليهم إلى صفحة تحديث مزيفة، حيث يقوم النقر على زر “تحديث” بتنزيل البرنامج الخبيث المتنكر على شكل تحديث متصفح شرعي.

يقوم FrigidStealer بجمع المعلومات الحساسة مثل كلمات المرور، والكوكيز، والملفات المتعلقة بالعملات المشفرة. ثم يرسل هذه البيانات إلى الجناة الإلكترونيين المسؤولين عن الهجوم، كما أوضح الباحثون.

بينما يكون مستخدمو Mac أقل شيوعًا في بيئات الأعمال من مستخدمي Windows، فإن هذه الهجمات تتزايد في التكرار بشكل متزايد.

توصي الخبراء بممارسات الأمان السيبراني القوية للحماية من هذه التهديدات، بما في ذلك استخدام حماية النقاط الطرفية، وتدريب الموظفين على التعرف على الأنشطة المشبوهة، وتجنب النقر على إشعارات التحديث غير الموثوقة.