24/03/25
Фишинговая кампания, маскирующаяся под системные оповещения Microsoft, изменила направление и теперь нацелена на пользователей macOS. Изначально атаки были ориентированы на владельцев Windows-устройств, но в начале 2025 года специалисты платформы LayerX, занимающейся защитой поисковиков, зафиксировали смену вектора атаки. Кампания активно развивалась на протяжении 2024 года, особенно усилившись к его завершению.
Суть первых волн атаки заключалась в демонстрации потенциальным жертвам поддельных сайтов, которые имитировали системные предупреждения от Microsoft.
Пользователю сообщалось, что устройство якобы «заблокировано» и «скомпрометировано», после чего запрашивались учётные данные Windows, пишет Securitylab. Одновременно с этим происходила имитация «зависания» браузера, что усиливало эффект паники. Такие действия мотивировали жертву на поспешный ввод своих данных.
Особую опасность представляло то, что сайты размещались на платформе Windows.net — поддоменах, принадлежащих самой Microsoft. Это создавало иллюзию подлинности и помогало обмануть даже внимательных пользователей. Преступники также использовали легальные хостинговые сервисы, что позволяло обойти фильтры и механизмы защиты, ориентированные на подозрительные источники.
Дополнительный уровень маскировки обеспечивался за счёт постоянной смены поддоменов. Каждый из них существовал недолго и быстро заменялся новым. Даже если конкретный адрес попадал в базы вредоносных ссылок, атака практически сразу продолжалась с «чистой» страницы. По данным LayerX, такая стратегия позволяла злоумышленникам сохранять высокую эффективность в течение длительного времени.
Однако к началу 2025 года количество атак на пользователей Windows снизилось почти на 90%. LayerX связывает это с улучшением защитных механизмов в популярных браузерах. Chrome и Firefox усилили борьбу с фишинговыми сайтами, а в Microsoft Edge была реализована новая функция против так называемого «scareware» — программ, создающих ощущение угрозы для вынуждения пользователя к действиям.
После потери эффективности на Windows-платформах злоумышленники переключились на владельцев устройств от Apple. Кампания получила новый визуальный облик, адаптированный под macOS, но сохранила основную структуру: поддельные системные предупреждения и блокировка интерфейса, призванная спровоцировать действия пользователя. LayerX отмечает, что несмотря на визуальные изменения, суть атаки осталась прежней.
Анализ поведения инфраструктуры и методов распространения позволяет предположить, что наблюдаемый этап является лишь подготовкой к новой волне. Специалисты предупреждают, что атаки будут возобновлены уже в ближайшее время — с учётом выявленных уязвимостей в новых защитных механизмах Microsoft. Адаптивность, масштабируемость и устойчивость архитектуры, используемой преступниками, указывают на высокий уровень организации кампании.
На текущий момент не уточняется, какие именно браузеры на macOS стали целями новых атак, и не приводятся точные данные по количеству жертв. Однако сама структура и история предыдущей фазы позволяют предположить, что уязвимыми остаются все основные браузеры без дополнительных расширений безопасности.
Пока остаётся неясным, какая группировка стоит за этой операцией. Не называются ни домены, ни имена зарегистрированных аккаунтов, используемых для запуска поддельных страниц. Однако тот факт, что используются легальные инструменты и ресурсы, говорит о серьёзной подготовке и ориентации на долгосрочное присутствие.
