Ancaman Baru Keamanan Siber Menarget Pengguna Mac dengan Pembaruan Palsu

Para peneliti keamanan siber telah mengungkap dua kelompok cyberkriminal baru, TA2726 dan TA2727, yang bertanggung jawab atas gelombang serangan online yang semakin meningkat, termasuk penipuan pembaruan palsu dan malware yang menargetkan perangkat Mac, Windows, dan Android.

Serangan-serangan yang melibatkan penyuntikan kode jahat ke dalam situs web yang sah, menipu pengguna untuk mengunduh perangkat lunak berbahaya, semakin meluas.

Proofpoint, sebuah tim penelitian keamanan siber, hari ini menerbitkan sebuah pembaruan tentang peningkatan frekuensi kampanye “web inject” ini, yang bertujuan untuk menginfeksi pengguna dengan mengarahkan mereka ke situs yang dikompromikan yang terlihat dapat dipercaya.

Web inject biasanya melibatkan skrip jahat yang berjalan ketika pengguna mengunjungi situs web yang dikompromikan. Skrip ini bisa memaksa situs web untuk menampilkan pemberitahuan pembaruan palsu, menipu pengguna untuk mengklik pembaruan palsu yang menginstal malware.

Jenis serangan ini semakin sulit dilacak karena banyak pelaku yang menggunakan metode yang sama dan bekerja sama satu sama lain.

Secara historis, grup TA569 dikenal karena menggunakan pembaruan palsu sebagai cara untuk menginfeksi pengguna dengan malware, tetapi pada tahun 2023, beberapa grup, termasuk TA2726 dan TA2727, mulai menggunakan taktik serupa, seperti yang dijelaskan oleh Proofpoint.

Para aktor ini mendistribusikan malware melalui situs web yang dikompromikan daripada melalui kampanye email, yang membuat mendeteksi serangan menjadi lebih menantang.

TA2726, sebagai contoh, berfungsi sebagai “distributor lalu lintas,” yang mengarahkan pengguna ke berbagai kampanye malware. Kelompok ini bekerja sama dengan aktor yang termotivasi finansial seperti TA569 dan TA2727, yang memanfaatkan situs web yang dikompromikan untuk menyebarkan malware. Investigasi dari Proofpoint mengungkapkan bahwa sejak September 2022, TA2726 telah menjadi pemain kunci dalam serangan-serangan ini.

Di sisi lain, TA2727 berfokus pada penyampaian berbagai jenis malware, termasuk pencuri informasi yang disebut FrigidStealer, yang menargetkan pengguna Mac.

Proofpoint mencatat bahwa pada awal 2025, para peneliti mengamati malware ini dalam kampanye yang ditujukan untuk komputer Windows dan Mac. Untuk pengguna Mac, serangan ini mengarahkan mereka ke halaman pembaruan palsu, di mana mengklik tombol “Update” akan mengunduh malware yang menyamar sebagai pembaruan browser yang sah.

FrigidStealer mengumpulkan informasi sensitif seperti kata sandi, cookies, dan file yang terkait dengan cryptocurrency. Malware ini kemudian mengirim data ini ke para penjahat cyber yang bertanggung jawab atas serangan tersebut, seperti yang dijelaskan oleh para peneliti.

Meskipun pengguna Mac lebih jarang di lingkungan korporat dibandingkan dengan pengguna Windows, serangan ini semakin sering terjadi.

Para ahli merekomendasikan praktik keamanan siber yang kuat untuk melindungi dari ancaman-ancaman ini, termasuk menggunakan perlindungan titik akhir, melatih karyawan untuk mengenali aktivitas mencurigakan, dan menghindari mengklik pemberitahuan pembaruan yang tidak dapat dipercaya.