Κακόβουλο λογισμικό (malware) Mac, το οποίο κλέβει κωδικούς πρόσβασης, πορτοφόλια κρυπτονομισμάτων και άλλα ευαίσθητα δεδομένα, έχει εντοπιστεί να κυκλοφορεί μέσω Google Ads.
Αυτή είναι τουλάχιστον η δεύτερη φορά μέσα σε δύο μήνες που η ευρέως χρησιμοποιούμενη πλατφόρμα διαφημίσεων καταχράται για να μολύνει χρήστες του διαδικτύου.
Οι πρόσφατες διαφημίσεις, που εντοπίστηκαν από την εταιρεία ασφαλείας Malwarebytes τη Δευτέρα, προωθούν εκδόσεις Mac του Arc, ενός καινοτόμου προγράμματος περιήγησης που κυκλοφόρησε για την πλατφόρμα macOS τον περασμένο Ιούλιο. Η διαφήμιση υπόσχεται στους χρήστες μια «πιο ήρεμη, πιο προσωπική» εμπειρία με λιγότερη ακαταστασία και περισπασμούς, ακολουθώντας το μήνυμα μάρκετινγκ της The Browser Company, της startup πίσω από το Arc.
Δείτε περισσότερα: Google ad υποδύεται το Whales Market και προωθεί malware
Όταν η επαλήθευση αποτυγχάνει
Σύμφωνα με το Malwarebytes, οι χρήστες του διαδικτύου που έκαναν κλικ στις διαφημίσεις ανακατευθύνονταν στο arc-download[.]com, μια απολύτως ψεύτικη σελίδα που μοιάζει σχεδόν πανομοιότυπα με την πραγματική σελίδα του προγράμματος περιήγησης Arc.
Περαιτέρω έρευνα στη διαφήμιση αποκαλύπτει ότι αγοράστηκε από μια οντότητα με την επωνυμία Coles & Co, μια ταυτότητα διαφημιστή που, σύμφωνα με την Google, έχει επαληθευτεί.
Οι επισκέπτες που κάνουν κλικ στο κουμπί λήψης στο arc-download[.]com θα κατεβάσουν ένα αρχείο εγκατάστασης .dmg που φαίνεται γνήσιο, με μία μόνο διαφορά: περιλαμβάνει οδηγίες για την εκτέλεση του αρχείου με δεξί κλικ και επιλογή “Άνοιγμα” αντί του συνηθισμένου διπλού κλικ. Αυτό γίνεται για να παρακαμφθεί ένας μηχανισμός ασφαλείας του macOS που αποτρέπει την εγκατάσταση εφαρμογών, εκτός κι αν έχουν υπογραφεί ψηφιακά από έναν πιστοποιημένο προγραμματιστή της Apple.
Μια ανάλυση του κακόβουλου λογισμικού αποκαλύπτει ότι, μόλις εγκατασταθεί, ο χάκερ αποστέλλει δεδομένα στη διεύθυνση IP 79.137.192[.]4. Αυτή η διεύθυνση φιλοξενεί τον πίνακα ελέγχου του Poseidon, το οποίο πωλείται ενεργά σε εγκληματικές αγορές. Ο πίνακας ελέγχου επιτρέπει στους πελάτες να έχουν πρόσβαση σε λογαριασμούς και να αντλούν πληροφορίες από τα δεδομένα που έχουν συλλεχθεί.
Διαβάστε επίσης: Κακόβουλη διαφημιστική καμπάνια διαδίδει το Oyster Backdoor
«Υπάρχει μια ενεργή σκηνή ανάπτυξης κακόβουλου λογισμικού (malware) Mac που επικεντρώνεται στους χάκερ», έγραψε ο Jérôme Segura, επικεφαλής αναλυτής πληροφοριών για κακόβουλο λογισμικό στο Malwarebytes. «Όπως φαίνεται, υπάρχουν πολλοί παράγοντες που συμβάλλουν σε μια τέτοια εγκληματική επιχείρηση. Ο πωλητής πρέπει να πείσει τους πιθανούς πελάτες ότι το προϊόν του είναι πλούσιο σε δυνατότητες και έχει χαμηλό ποσοστό ανίχνευσης από το λογισμικό προστασίας από ιούς.»
Το Poseidon προβάλλεται ως ένας “κλέφτης” macOS με δυνατότητες όπως “να αποσπά αρχεία, να εξάγει πορτοφόλι κρυπτονομισμάτων, να κλέβει κωδικούς πρόσβασης από διαχειριστές όπως το Bitwarden και το KeePassXC, καθώς και να συλλέγει δεδομένα από προγράμματα περιήγησης”. Το Atomic Stealer, ένα ανάλογο πρόγραμμα κλοπής για το macOS, φαίνεται να μοιράζεται σε μεγάλο βαθμό τον ίδιο υποκείμενο πηγαίο κώδικα με το Poseidon.
Ο συντάκτης της ανάρτησης, Rodrigo4, έχει προσθέσει μια νέα λειτουργία για τη διαμόρφωση των VPN, η οποία ωστόσο δεν είναι ακόμη λειτουργική, πιθανώς επειδή βρίσκεται υπό ανάπτυξη. Η ανάρτηση στο φόρουμ εμφανίστηκε την Κυριακή, ενώ η Malwarebytes εντόπισε τις κακόβουλες διαφημίσεις μία μέρα αργότερα. Η ανακάλυψη αυτή ήρθε ένα μήνα μετά από τον εντοπισμό από τη Malwarebytes μιας άλλης παρτίδας διαφημίσεων της Google που προωθούσαν μια ψεύτικη έκδοση του Arc για Windows. Το πρόγραμμα εγκατάστασης αυτής της καμπάνιας εγκατέστησε έναν ύποπτο infostealer για την συγκεκριμένη πλατφόρμα.
Διαβάστε ακόμη: Hacker χρησιμοποιούν ψεύτικα Facebook ads για διανομή malware
Όπως και πολλά άλλα μεγάλα διαφημιστικά δίκτυα, το Google Ads συχνά προβάλλει κακόβουλο περιεχόμενο, το οποίο δεν αφαιρείται μέχρι να λάβει έγκριση. Το Google Ads δεν αναλαμβάνει καμία ευθύνη για τυχόν ζημιές που μπορεί να προκύψουν. Σε ένα email, η εταιρεία ανέφερε ότι αφαιρεί τις κακόβουλες διαφημίσεις μόλις ενημερωθεί και αναστέλλει τον λογαριασμό του διαφημιστή, όπως έκανε και σε αυτήν την περίπτωση.
Τα άτομα που επιθυμούν να εγκαταστήσουν λογισμικό που διαφημίζεται στο διαδίκτυο θα πρέπει να αναζητούν τον επίσημο ιστότοπο λήψης και να μην εμπιστεύονται τον ιστότοπο της διαφήμισης. Επίσης, χρειάζεται να είναι προσεκτικά με τυχόν οδηγίες που προτείνουν στους χρήστες Mac να εγκαταστήσουν εφαρμογές μέσω της μεθόδου δεξί κλικ που προαναφέρθηκε. Η ανάρτηση της Malwarebytes παρέχει δείκτες παραβίασης, τους οποίους μπορούν να χρησιμοποιήσουν οι χρήστες για να διαπιστώσουν αν έχουν γίνει στόχος.
Δείτε ακόμη: Notepad++ – VNote: Κακόβουλες διαφημίσεις στοχεύουν χρήστες
Πηγή: arstechnica
 Mac, το οποίο κλέβει κωδικούς πρόσβασης, πορτοφόλια κρυπτονομισμάτων και άλλα ευαίσθητα δεδομένα, έχει εντοπιστεί να κυκλοφορεί μέσω Google Ads.){kind=link}