Nouvelle Menace de Cybersécurité Ciblant les Utilisateurs de Mac avec de Faux Mises à Jour

Les chercheurs en cybersécurité ont découvert deux nouveaux groupes de cybercriminels, TA2726 et TA2727, responsables d’une vague croissante d’attaques en ligne, y compris des arnaques de fausses mises à jour et des logiciels malveillants ciblant les appareils Mac, Windows et Android.

Les attaques, qui consistent à injecter un code malveillant dans des sites web légitimes, trompent les utilisateurs en les incitant à télécharger un logiciel nuisible, deviennent de plus en plus répandues.

Proofpoint, une équipe de recherche en cybersécurité, a publié aujourd’hui une mise à jour concernant l’augmentation de la fréquence de ces campagnes de « web inject », qui visent à infecter les utilisateurs en les redirigeant vers des sites compromis qui semblent dignes de confiance.

Les web injects impliquent généralement des scripts malveillants qui s’exécutent lorsque l’utilisateur visite un site web compromis. Ces scripts peuvent forcer le site web à afficher des notifications de mise à jour fausses, trompant l’utilisateur pour qu’il clique sur une mise à jour frauduleuse qui installe un malware.

Ce type d’attaque est devenu de plus en plus difficile à suivre en raison de multiples acteurs utilisant la même méthode et collaborant les uns avec les autres.

Historiquement, le groupe TA569 était bien connu pour utiliser de fausses mises à jour comme moyen d’infecter les utilisateurs avec des logiciels malveillants, mais en 2023, plusieurs groupes, y compris TA2726 et TA2727, ont commencé à utiliser des tactiques similaires, comme expliqué par Proofpoint.

Ces acteurs diffusent des logiciels malveillants à travers des sites web compromis plutôt que par le biais de campagnes par courriel, ce qui rend la détection des attaques plus complexe.

TA2726, par exemple, fonctionne comme un « distributeur de trafic », redirigeant les utilisateurs vers diverses campagnes de logiciels malveillants. Ce groupe travaille avec des acteurs motivés financièrement comme TA569 et TA2727, qui profitent des sites web compromis pour diffuser des logiciels malveillants. L’enquête de Proofpoint a révélé que depuis septembre 2022, TA2726 a été un acteur clé dans ces attaques.

D’un autre côté, TA2727 se concentre sur la distribution de divers types de logiciels malveillants, y compris un voleur d’informations appelé FrigidStealer, qui cible les utilisateurs de Mac.

Proofpoint note qu’au début de 2025, les chercheurs ont observé ce logiciel malveillant dans des campagnes visant à la fois les ordinateurs Windows et Mac. Pour les utilisateurs de Mac, l’attaque les redirige vers une fausse page de mise à jour, où cliquer sur le bouton « Mettre à jour » télécharge un logiciel malveillant déguisé en une mise à jour de navigateur légitime.

FrigidStealer recueille des informations sensibles telles que les mots de passe, les cookies et les fichiers liés à la cryptomonnaie. Le logiciel malveillant envoie ensuite ces données aux cybercriminels responsables de l’attaque, comme l’ont expliqué les chercheurs.

Bien que les utilisateurs de Mac soient moins courants en entreprise que les utilisateurs de Windows, ces attaques sont de plus en plus fréquentes.

Les experts recommandent de solides pratiques en matière de cybersécurité pour se protéger contre ces menaces, y compris l’utilisation d’une protection de point de terminaison, la formation des employés à reconnaître les activités suspectes et l’évitement des clics sur les notifications de mise à jour non fiables.