新たなサイバーセキュリティの脅威、偽のアップデートでMacユーザーを狙う

サイバーセキュリティ研究者たちは、新たに2つのサイバー犯罪グループ、TA2726とTA2727を発見しました。これらのグループは、偽のアップデート詐欺や、Mac、Windows、Androidデバイスを狙うマルウェアなど、増え続けるオンライン攻撃を引き起こしています。

正当なウェブサイトに悪意のあるコードを注入するという攻撃は、ユーザーが有害なソフトウェアをダウンロードするように誘導し、その被害はますます広がりを見せています。

Proofpointというサイバーセキュリティ研究チームが、今日、これらの「ウェブインジェクト」キャンペーンの頻度が増えているという更新情報を公開しました。これらのキャンペーンは、ユーザーを信頼できると思われるコンプロミスされたサイトにリダイレクトし、感染させることを目指しています。

ウェブインジェクトは通常、ユーザーがコンプロミスされたウェブサイトを訪れると実行される悪意のあるスクリプトを含んでいます。これらのスクリプトにより、ウェブサイトが偽の更新通知を表示するよう強制され、ユーザーが詐欺的な更新をクリックし、マルウェアをインストールするように騙されます。

この種の攻撃は、同じ手法を使用し、互いに協力する複数のアクターにより、追跡がますます難しくなってきています。

歴史的には、TA569グループは偽のアップデートを使用してユーザーにマルウェアを感染させることで知られていましたが、2023年には、TA2726やTA2727を含むいくつかのグループが同様の戦術を使用し始めたと、Proofpointが説明しています。

これらの俳優たちは、メールキャンペーンではなく、マルウェアを侵害されたウェブサイトを通じて配布します。これにより攻撃の検出がより困難になります。

例えばTA2726は、「トラフィックディストリビューター」、つまりユーザーを様々なマルウェアキャンペーンにリダイレクトする機能を果たしています。このグループは、TA569やTA2727のような金銭的な動機を持つ俳優と協力し、侵害されたウェブサイトを利用してマルウェアを広めています。Proofpointの調査によれば、2022年9月以降、TA2726はこれらの攻撃において重要な役割を果たしてきました。

一方、TA2727は、Macユーザーを対象としたFrigidStealerという情報窃盗マルウェアを含む、さまざまなタイプのマルウェアの配信に重点を置いています。

Proofpointは、2025年初頭に、研究者たちがこのマルウェアをWindowsとMacの両方のコンピューターを対象とするキャンペーンで観察したことを注目しています。Macユーザーの場合、攻撃は彼らを偽のアップデートページにリダイレクトし、”アップデート”ボタンをクリックすると、正当なブラウザアップデートと偽装したマルウェアがダウンロードされます。

FrigidStealerは、パスワード、クッキー、仮想通貨に関連するファイルなどの機密情報を収集します。このマルウェアは、攻撃を担当したサイバー犯罪者にこれらのデータを送信します。これは研究者たちが説明している通りです。

Macユーザーは企業環境ではWindowsユーザーよりも少ないですが、このような攻撃は頻繁に増えてきています。

専門家たちは、これらの脅威から保護するために強固なサイバーセキュリティの実践を推奨しています。それには、エンドポイント保護の使用、従業員への怪しい活動を認識するためのトレーニング、信頼できない更新通知のクリックを避けることが含まれます。