Фишинговая кампания, маскирующаяся под системные оповещения Microsoft, изменила направление и теперь нацелена на пользователей macOS. Изначально атаки были ориентированы на владельцев Windows-устройств, но в начале 2025 года специалисты платформы LayerX, занимающейся защитой браузеров, зафиксировали смену вектора атаки . Кампания активно развивалась на протяжении 2024 года, особенно усилившись к его завершению. Суть первых волн атаки заключалась в демонстрации потенциальным жертвам поддельных сайтов, которые имитировали системные предупреждения от Microsoft.
Пользователю сообщалось, что устройство якобы «заблокировано» и «скомпрометировано», после чего запрашивались учётные данные Windows. Одновременно с этим происходила имитация «зависания» браузера, что усиливало эффект паники. Такие действия мотивировали жертву на поспешный ввод своих данных. Особую опасность представляло то, что сайты размещались на платформе Windows.net — поддоменах, принадлежащих самой Microsoft. Это создавало иллюзию подлинности и помогало обмануть даже внимательных пользователей. Преступники также использовали легальные хостинговые сервисы, что позволяло обойти фильтры и механизмы защиты, ориентированные на подозрительные источники. Дополнительный уровень маскировки обеспечивался за счёт постоянной смены поддоменов. Каждый из них существовал недолго и быстро заменялся новым. Даже если конкретный адрес попадал в базы вредоносных ссылок, атака практически сразу продолжалась с «чистой» страницы. По данным LayerX, такая стратегия позволяла злоумышленникам сохранять высокую эффективность в течение длительного времени. Однако к началу 2025 года количество атак на пользователей Windows снизилось почти на 90%. LayerX связывает это с улучшением защитных механизмов в популярных браузерах. Chrome и Firefox усилили борьбу с фишинговыми сайтами, а в Microsoft Edge была реализована новая функция против так называемого «scareware» — программ, создающих ощущение угрозы для вынуждения пользователя к действиям. После потери эффективности на Windows-платформах злоумышленники переключились на владельцев устройств от Apple. Кампания получила новый визуальный облик, адаптированный под macOS, но сохранила основную структуру: поддельные системные предупреждения и блокировка интерфейса, призванная спровоцировать действия пользователя. LayerX отмечает, что несмотря на визуальные изменения, суть атаки осталась прежней. Анализ поведения инфраструктуры и методов распространения позволяет предположить, что наблюдаемый этап является лишь подготовкой к новой волне. Специалисты предупреждают, что атаки будут возобновлены уже в ближайшее время — с учётом выявленных уязвимостей в новых защитных механизмах Microsoft. Адаптивность, масштабируемость и устойчивость архитектуры, используемой преступниками, указывают на высокий уровень организации кампании. На текущий момент не уточняется, какие именно браузеры на macOS стали целями новых атак, и не приводятся точные данные по количеству жертв. Однако сама структура и история предыдущей фазы позволяют предположить, что уязвимыми остаются все основные браузеры без дополнительных расширений безопасности.