Usuários do Mac da Apple estão na mira de cibercriminosos: pesquisadores da MacKeeper detectaram uma nova campanha que dissemina anúncios maliciosos no Google de ferramentas de limpeza para roubar dados.
A descoberta foi feita por meio de resultados de busca patrocinados do Google quando o usuário pesquisa “limpeza de Mac” no mecanismo. Uma vez que a pessoa clica no link acreditando estar diante de um recurso legítimo, ela é direcionada para uma página que imita o site de suporte da Apple.
É nesse endereço corrompido que a ação ocorre, já que a vítima em potencial é induzida a executar um comando malicioso que permite o controle total do sistema macOS pelos criminosos.
Falsa limpeza
Hospedadas por meio de serviços do Google, as páginas falsas mostram um passo a passo de como o usuário pode liberar espaço no disco do dispositivo, trazendo um layout bastante similar à página de suporte da Apple.
A ação maliciosa começa quando a vítima copia e cola um comando no Terminal do macOS, que é ofuscado a partir de uma codificação Base64. Assim que ele é executado, um script vindo de um servidor remoto é instalado no sistema, iniciando uma série de processos comprometidos que enganam o usuário com avisos falsos, como “limpando o armazenamento do macOS”.
Em segundo plano, ocorre tudo, menos uma limpeza no disco: com o acesso remoto, os hackers conseguem roubar dados sensíveis do usuário, extrair chaves SSH, instalar malware e ainda minerar criptomoedas.
De acordo com a MacKeeper, esses anúncios são veiculados por meio de contas verificadas pelo Google que parecem ter sido comprometidas pelos criminosos para contornar medidas de segurança da empresa.
Comentários