Компанія кібербезпеки layerX Labs виявила складну фішингову кампанію, яка нещодавно почала націлюватися на користувачів Apple Mac. Зловмисники змінили своїх потенційних жертв після того, як нові засоби захисту зробили атаки на Windows менш ефективними.
Раніше зловмисники націлювалися на користувачів Windows за допомогою підроблених попереджень системи безпеки Microsoft, але потім адаптували свою тактику у відповідь на нові функції захисту від шкідливого ПЗ, розгорнуті в браузерах Chrome, Edge і Firefox раніше в цьому році.
Згідно layerX, первісна кампанія ґрунтувалася на скомпрометованих веб-сайтах, які відображали підроблені попередження безпеки, які стверджують, що комп’ютер користувача був “скомпрометований” і “заблокований”. Потім шкідливий код заморожував веб-сторінку, створюючи ілюзію того, що комп’ютер заблокований, і спонукаючи жертв вводити свої облікові дані Windows.
Що зробило кампанію особливо ефективною, так це її очевидна достовірність, оскільки фішингові сторінки розміщувалися на платформі Microsoft Windows.net. Використання законної інфраструктури також допомогло обійти інструменти безпеки, які оцінюють ризик на основі репутації домену.
Після того, як розробники браузерів впровадили нові засоби захисту від шкідливого ПЗ на початку 2025 року, layerX заявила, що кількість атак, націлених на Windows, знизилася на 90%. Всього за два тижні зловмисники переключили свою увагу на користувачів Mac, які не були охоплені новими заходами захисту.
Фішингові сторінки, орієнтовані на Mac, мають аналогічний візуальний дизайн, але розроблені спеціально для користувачів macOS і Safari. Однак кампанія, як і раніше використовує інфраструктуру Windows.net. Жертви звичайно потрапляють на ці фішингові сторінки з-за помилок в URL-адресах. Починаючи зі скомпрометованих сторінок паркування домену, жертви швидко перенаправляються через кілька сайтів, перш ніж потрапити на кінцкву шкідливу сторінку.
“Хоча фішингові кампанії, націлені на користувачів Mac, існували і раніше, вони рідко досягали такого рівня складності”, – зазначає layerX у своєму звіті. Охоронна фірма очікує побачити “відновлювану хвилю атак”, оскільки зловмисники продовжують адаптувати свої методи для подолання нових заходів безпеки.
Висновок для користувачів Mac полягає в тому, що вони завжди повинні перевіряти URL-адреси веб-сайтів при введенні їх в свій браузер і розглянути можливість використання інструменту безпеки, який може виявляти загрози на рівні браузера.
