虚假的浏览器更新诈骗现在瞄准Mac、Windows和Android用户，通过受感染的网站传播FrigidStealer、Lumma Stealer和Marcher木马等恶意软件。

Proofpoint的网络安全研究人员发现，一波虚假浏览器更新骗局背后有两个新的网络犯罪团伙，这些骗局旨在用恶意软件感染用户。这两个团伙被追踪为TA2726和TA2727，他们利用被入侵的网站诱骗访问者下载恶意软件，其中包括新发现的Mac专用信息窃取程序FrigidStealer。

该骗局依靠网络注入，这是一种攻击者将恶意代码插入合法网站的技术。当用户访问受感染的网站时，他们会看到一个虚假的浏览器更新提示，敦促他们下载并安装更新。下载的不是真正的更新，而是可以窃取敏感数据或安装更危险的有效负载的恶意软件。

TA2726充当流量销售商，本质上是为其他恶意行为者提供这种重定向服务。研究人员认为，TA2726似乎与TA569合作，后者是之前已知的威胁行为者，曾是“虚假更新”活动的主要参与者。另一方面，根据Proofpoint的博客文章，TA2727正在积极分发恶意软件，经常使用“虚假更新”诡计来欺骗用户。

在最近的一次活动中，TA2727根据受害者的位置传播不同的恶意软件。在美国和加拿大，用户被引导至SocGholish注入，从而安装恶意软件。但在欧洲，Windows用户遇到了安装Lumma Stealer的虚假浏览器更新提示，而Android用户则受到Marcher银行木马的攻击。

新的FrigidStealer以Mac用户为目标，攻击从虚假的更新消息开始，将用户重定向到恶意文件。如果用户点击，伪装成浏览器更新(Chrome和Safari)的文件会安装信息窃取程序。然后，FrigidStealer会秘密收集敏感数据，如浏览器 cookie、与密码和加密货币相关的文件，甚至Apple Notes，就像最近发现的XCSSET恶意软件的新变种一样。

该恶意软件使用Go编写，并使用WailsIO，这是一个让虚假更新窗口看起来逼真的框架。它还通过要求用户右键单击并选择“打开”来绕过Mac的Gatekeeper安全功能，这是Mac恶意软件作者常用的技巧。

受到威胁的不仅仅是Mac用户。还发现相同的攻击链会传播针对Android的Marcher银行木马以及针对Windows的Lumma Stealer和DeerStealer。

对于Android用户，点击更新会下载Marcher，这是一种自2013年以来一直活跃的银行木马，旨在窃取银行应用程序的登录凭据。如果Windows用户点击虚假更新，他们会收到一个MSI安装程序，该安装程序会加载一个木马化的DLL，最终运行Lumma Stealer来提取凭据和财务数据。

用户仍然可以通过学习基本的网络安全实践、学习如何识别网络钓鱼电子邮件、避免使用第三方应用程序和工具以及扫描VirusTotal或ANY.RUN等网站上的文件和链接来保护自己。