Фишинговая кампания, которая раньше маскировалась под системные уведомления Microsoft, сменила направление и теперь нацелена на пользователей macOS. Изначально атаки были направлены на владельцев Windows, но в начале 2025 года специалисты платформы LayerX, занимающейся защитой браузеров, заметили изменение вектора атаки. Кампания активно развивалась в 2024 году, особенно усилившись в его конце.
В первых волнах атаки жертвам показывались поддельные сайты, имитирующие системные предупреждения от Microsoft. Пользователю сообщали, что его устройство якобы «заблокировано» или «компрометировано», и просили ввести учётные данные Windows. При этом имитировалось «зависание» браузера, что усиливало чувство паники. Это заставляло жертву быстрее вводить свои данные.
Опасность заключалась в том, что фишинговые сайты размещались на платформе Windows.net — поддоменах, принадлежащих Microsoft. Это создавало впечатление, что сайты настоящие, и вводило в заблуждение даже внимательных пользователей. Злоумышленники также использовали легальные хостинговые сервисы, что помогало обходить фильтры безопасности.
Дополнительным способом маскировки была постоянная смена поддоменов. Каждый поддомен существовал недолго и быстро заменялся новым. Даже если ссылка попадала в базы данных вредоносных сайтов, атака продолжалась с «чистой» страницы. Специалисты LayerX отмечают, что эта стратегия позволяла злоумышленникам сохранять высокую эффективность в течение длительного времени.
К началу 2025 года количество атак на пользователей Windows сократилось почти на 90%. Это связано с улучшением защитных механизмов в популярных браузерах. Chrome и Firefox усилили защиту от фишинга, а в Microsoft Edge появилась новая функция для борьбы с так называемым «scareware» — программами, создающими ложную угрозу, чтобы заставить пользователя совершить действие.
После того как атаки на Windows перестали быть эффективными, злоумышленники переключились на пользователей Apple. Кампания приобрела новый вид, адаптированный под macOS, но структура осталась прежней: поддельные системные уведомления и блокировка интерфейса, чтобы побудить пользователя к действию. Эксперты LayerX утверждают, что, несмотря на изменения в визуальном оформлении, суть атаки осталась прежней.
Анализ поведения инфраструктуры и методов распространения атак позволяет предположить, что текущий этап является подготовкой к новой волне. Специалисты предупреждают, что атаки могут возобновиться в ближайшее время, особенно с учётом уязвимостей в новых защитных механизмах Microsoft. Адаптивность, масштабируемость и устойчивость используемой злоумышленниками архитектуры говорят о высоком уровне организации кампании.
На данный момент неизвестно, какие браузеры на macOS стали целью новых атак, и нет точных данных о количестве жертв. Однако, исходя из структуры предыдущей фазы, можно предположить, что все основные браузеры без дополнительных средств защиты остаются уязвимыми.
Не установлена и группировка, стоящая за этой операцией. Не раскрыты ни домены, ни имена аккаунтов, используемых для создания поддельных страниц. Однако использование легальных инструментов и ресурсов указывает на серьёзную подготовку и долгосрочные намерения злоумышленников.
В первых волнах атаки жертвам показывались поддельные сайты, имитирующие системные предупреждения от Microsoft. Пользователю сообщали, что его устройство якобы «заблокировано» или «компрометировано», и просили ввести учётные данные Windows. При этом имитировалось «зависание» браузера, что усиливало чувство паники. Это заставляло жертву быстрее вводить свои данные.
Опасность заключалась в том, что фишинговые сайты размещались на платформе Windows.net — поддоменах, принадлежащих Microsoft. Это создавало впечатление, что сайты настоящие, и вводило в заблуждение даже внимательных пользователей. Злоумышленники также использовали легальные хостинговые сервисы, что помогало обходить фильтры безопасности.
Дополнительным способом маскировки была постоянная смена поддоменов. Каждый поддомен существовал недолго и быстро заменялся новым. Даже если ссылка попадала в базы данных вредоносных сайтов, атака продолжалась с «чистой» страницы. Специалисты LayerX отмечают, что эта стратегия позволяла злоумышленникам сохранять высокую эффективность в течение длительного времени.
К началу 2025 года количество атак на пользователей Windows сократилось почти на 90%. Это связано с улучшением защитных механизмов в популярных браузерах. Chrome и Firefox усилили защиту от фишинга, а в Microsoft Edge появилась новая функция для борьбы с так называемым «scareware» — программами, создающими ложную угрозу, чтобы заставить пользователя совершить действие.
После того как атаки на Windows перестали быть эффективными, злоумышленники переключились на пользователей Apple. Кампания приобрела новый вид, адаптированный под macOS, но структура осталась прежней: поддельные системные уведомления и блокировка интерфейса, чтобы побудить пользователя к действию. Эксперты LayerX утверждают, что, несмотря на изменения в визуальном оформлении, суть атаки осталась прежней.
Анализ поведения инфраструктуры и методов распространения атак позволяет предположить, что текущий этап является подготовкой к новой волне. Специалисты предупреждают, что атаки могут возобновиться в ближайшее время, особенно с учётом уязвимостей в новых защитных механизмах Microsoft. Адаптивность, масштабируемость и устойчивость используемой злоумышленниками архитектуры говорят о высоком уровне организации кампании.
На данный момент неизвестно, какие браузеры на macOS стали целью новых атак, и нет точных данных о количестве жертв. Однако, исходя из структуры предыдущей фазы, можно предположить, что все основные браузеры без дополнительных средств защиты остаются уязвимыми.
Не установлена и группировка, стоящая за этой операцией. Не раскрыты ни домены, ни имена аккаунтов, используемых для создания поддельных страниц. Однако использование легальных инструментов и ресурсов указывает на серьёзную подготовку и долгосрочные намерения злоумышленников.
