Nueva amenaza de ciberseguridad apunta a usuarios de Mac con actualizaciones falsas

Las investigadoras de ciberseguridad han descubierto dos nuevos grupos de ciberdelincuentes, TA2726 y TA2727, responsables de lanzar una creciente ola de ataques en línea, incluyendo estafas de falsas actualizaciones y malware dirigido a dispositivos Mac, Windows y Android.

Los ataques, que implican inyectar código malicioso en sitios web legítimos, engañando a los usuarios para que descarguen software dañino, se están volviendo más frecuentes.

Proofpoint, un equipo de investigación en ciberseguridad, publicó hoy una actualización sobre la creciente frecuencia de estas campañas de “inserción web”, que tienen como objetivo infectar a los usuarios redirigiéndolos a sitios comprometidos que parecen confiables.

Las inyecciones web típicamente involucran scripts maliciosos que se ejecutan cuando un usuario visita un sitio web comprometido. Estos scripts pueden obligar al sitio web a mostrar notificaciones falsas de actualizaciones, engañando al usuario para que haga clic en una actualización fraudulenta que instala malware.

Este tipo de ataque se ha vuelto cada vez más difícil de rastrear debido a que múltiples actores usan el mismo método y colaboran entre ellos.

Históricamente, el grupo TA569 era bien conocido por usar falsas actualizaciones como una forma de infectar a los usuarios con malware, pero en 2023, varios grupos, incluyendo TA2726 y TA2727, comenzaron a usar tácticas similares, como lo explicó Proofpoint.

Estos actores distribuyen malware a través de sitios web comprometidos en lugar de campañas de correo electrónico, lo que hace que detectar los ataques sea más desafiante.

TA2726, por ejemplo, funciona como un “distribuidor de tráfico”, redirigiendo a los usuarios a diversas campañas de malware. Este grupo trabaja con actores con motivaciones financieras como TA569 y TA2727, quienes se aprovechan de los sitios web comprometidos para difundir malware. La investigación de Proofpoint reveló que desde septiembre de 2022, TA2726 ha sido un actor clave en estos ataques.

Por otro lado, TA2727 se enfoca en entregar varios tipos de malware, incluyendo un ladrón de información llamado FrigidStealer, que se dirige a los usuarios de Mac.

Proofpoint señala que a principios de 2025, los investigadores observaron este malware en campañas dirigidas tanto a computadoras Windows como a Mac. Para los usuarios de Mac, el ataque los redirige a una página de actualización falsa, donde al hacer clic en el botón “Actualizar” descargan malware disfrazado de una actualización legítima del navegador.

FrigidStealer recopila información sensible como contraseñas, cookies y archivos relacionados con las criptomonedas. Luego, el malware envía estos datos a los ciberdelincuentes responsables del ataque, según explican los investigadores.

Aunque los usuarios de Mac son menos comunes en entornos corporativos que los usuarios de Windows, estos ataques están aumentando en frecuencia.

Los expertos recomiendan prácticas sólidas de ciberseguridad para protegerse contra estas amenazas, incluyendo el uso de protección de puntos finales, entrenando a los empleados para reconocer actividad sospechosa y evitando hacer clic en notificaciones de actualización no confiables.