Yeni Siber Güvenlik Tehdidi, Mac Kullanıcılarını Sahte Güncellemelerle Hedef Alıyor

Siber güvenlik araştırmacıları, sahte güncelleme dolandırıcılıkları ve Mac, Windows ve Android cihazları hedefleyen zararlı yazılım dahil olmak üzere artan sayıda çevrimiçi saldırıyı başlatan iki yeni siber suçlu grubu, TA2726 ve TA2727’yi ortaya çıkardı.

Saldırılar, kötü niyetli kodların meşru web sitelerine enjekte edilmesi yoluyla gerçekleştirilir ve kullanıcıları zararlı yazılımları indirmeye teşvik eder. Bu tür saldırılar giderek daha yaygın hale gelmektedir.

Proofpoint, bir siber güvenlik araştırma ekibi, bugün “web enjekte” kampanyalarının artan sıklığı hakkında bir güncelleme yayımladı. Bu kampanyalar, kullanıcıları güvenilir gibi görünen tehlikeye maruz sitelere yönlendirerek enfekte etmeyi hedefliyor.

Web enjekteleri genellikle bir kullanıcı tehlikeye maruz bir siteyi ziyaret ettiğinde çalışan zararlı betikleri içerir. Bu betikler, web sitesinin sahte güncelleme bildirimlerini göstermeye zorlar, kullanıcıyı bir aldatmaca güncellemeyi tıklamaya ve böylece kötü amaçlı yazılımı yüklemeye yönlendirir.

Bu tür bir saldırı, birden çok aktörün aynı yöntemi kullanması ve birbiriyle işbirliği yapması nedeniyle izlemesi giderek zorlaştı.

Tarihsel olarak, TA569 grubu, kullanıcıları kötü amaçlı yazılımlarla enfekte etmek için sahte güncellemeleri kullanmasıyla tanınıyordu, ancak 2023’te, Proofpoint tarafından açıklandığı gibi TA2726 ve TA2727 dahil olmak üzere birkaç grup benzer taktikleri kullanmaya başladı.

Bu aktörler, saldırıları tespit etmeyi daha zorlaştıran, email kampanyaları yerine zararlı yazılımları tehlikeye girmiş web siteleri aracılığıyla dağıtıyorlar.

TA2726 örneğin, kullanıcıları çeşitli zararlı yazılım kampanyalarına yönlendiren bir “trafik dağıtıcı” olarak işlev görüyor. Bu grup, zararlı yazılım yaymak için tehlikeye girmiş web sitelerinden faydalanabilen TA569 ve TA2727 gibi mali açıdan motive olmuş aktörlerle çalışıyor. Proofpoint’in yaptığı araştırma, Eylül 2022’den bu yana TA2726’nın bu saldırılarda anahtar bir oyuncu olduğunu ortaya koydu.

Öte yandan, TA2727, Mac kullanıcılarını hedefleyen FrigidStealer adlı bir bilgi hırsızı da dahil olmak üzere çeşitli türlerde zararlı yazılımların dağıtımına odaklanmaktadır.

Proofpoint, 2025’in başlarında, araştırmacıların bu zararlı yazılımı hem Windows hem de Mac bilgisayarlarına yönelik kampanyalarda gözlemlediğini belirtiyor. Mac kullanıcıları için, saldırı onları sahte bir güncelleme sayfasına yönlendirir, burada “Güncelle” düğmesine tıklamak, meşru bir tarayıcı güncellemesi gibi gizlenmiş zararlı yazılımı indirir.

FrigidStealer, şifreler, çerezler ve kripto para birimi ile ilgili dosyalar gibi hassas bilgileri toplar. Araştırmacıların açıkladığı gibi, bu zararlı yazılım sonra bu verileri saldırıdan sorumlu siber suçlulara gönderir.

Mac kullanıcıları, kurumsal ortamlarda Windows kullanıcılarından daha az yaygın olsa da, bu saldırılar sıklıkla artıyor.

Uzmanlar, bu tehditlere karşı korunmak için güçlü siber güvenlik uygulamalarını önermektedirler. Bunlar arasında uç nokta korumasını kullanmak, çalışanları şüpheli aktiviteleri tanımaları için eğitmek ve güvenilmeyen güncelleme bildirimlerine tıklamaktan kaçınmak yer almaktadır.