O campanie sofisticată de atacuri informatice vizează utilizatorii de macOS, prin intermediul reclamelor Google Ads care promovează site-uri false ce imită platforme populare.
Experți ai securității cibernetice au descoperit și identificat care clonează branduri cunsocute de site-uri, iar reclamele Google respective trimit utilizatorii către comenzi terminal care instalează malware precum AMOS (Atomic macOS Stealer) şi Odyssey Stealer. Atacatorii folosesc metoda denumită „ClickFix”, în care apar reclame plătite Google Ads ce par legitime, cu URL-uri afişate corecte (ex: brew.sh pentru Homebrew), dar care redirecţionează către domenii falsificate (ex: brewe[.]sh). Pe aceste site-uri false, utilizatorii sunt îndrumaţi să execute comenzi în Terminal sau shell, scopul fiind instalarea malware-ului. În unele cazuri, tema este camuflată ca o verificare de securitate pentru TradingView sau un update Homebrew.
Odată executată, comanda descarcă un fişier „install.sh”, elimină flag-urile care pot ridica suspiciuni, ocoleşte sistemele de verificare (ex: Gatekeeper pe macOS), verifică dacă sistemul rulează într-o maşină virtuală sau mediu de analiză, după care instalează infostealer-ul. Acesta colectează informaţii sensibile precum date de hardware şi memorie, cookies din browsere (Chrome, Safari, Firefox), extensii pentru portofele cry2pto, date din Keychain şi fişiere personale, şi trimite toate aceste informaţii către servere de control externe.
Specialiștii în securitate avertizează că atacul vizează în special dezvoltatorii macOS, dar și utilizatorii obișnuiți pot fi afectați. Recomandarea principală este ca aplicațiile să fie descărcate doar de pe site-urile oficiale, evitând linkurile din reclame, și ca soluțiile de securitate să fie menținute permanent actualizate.
Atacuri Informatice Vizează Utilizatorii de macOS
O campanie sofisticată de atacuri informatice a fost recent identificată, având ca țintă utilizatorii de macOS. Aceasta utilizează reclame Google Ads pentru a promova site-uri false care imită platforme populare.
Experți în securitate cibernetică au descoperit clone ale brandurilor cunoscute, cu reclame care par legitime și care redirecționează utilizatorii către terminale de comandă ce instalează malware precum AMOS și Odyssey Stealer. Atacatorii aplică o metodă denumită „ClickFix”, utilizând URL-uri care par corecte, dar care conduc către domenii falsificate. Pe aceste site-uri, utilizatorii sunt instruiți să execute comenzi în Terminal, sub pretextul unei verificări de securitate sau al unui update necesar.
Odată ce comanda este executată, un fișier „install.sh” este descărcat, eliminând semnele de suspiciune și ocolind sistemele de protecție ale macOS. Malware-ul instalat colectează informații sensibile, inclusiv date despre hardware, cookies din browsere, și fișiere personale, trimis către servere externe.
Specialiștii atrag atenția că aceste atacuri vizează în special dezvoltatorii macOS, dar utilizatorii obișnuiți nu sunt exceptați. Recomandările principale includ descărcarea aplicațiilor doar de pe site-uri oficiale și menținerea soluțiilor de securitate actualizate constant.