O campanie sofisticată de atacuri informatice vizează utilizatorii de macOS, prin intermediul reclamelor Google Ads care promovează site-uri false ce imită platforme populare.
Experți ai securității cibernetice au descoperit și identificat care clonează branduri cunsocute de site-uri, iar reclamele Google respective trimit utilizatorii către comenzi terminal care instalează malware precum AMOS (Atomic macOS Stealer) şi Odyssey Stealer. Atacatorii folosesc metoda denumită „ClickFix”, în care apar reclame plătite Google Ads ce par legitime, cu URL-uri afişate corecte (ex: brew.sh pentru Homebrew), dar care redirecţionează către domenii falsificate (ex: brewe[.]sh). Pe aceste site-uri false, utilizatorii sunt îndrumaţi să execute comenzi în Terminal sau shell, scopul fiind instalarea malware-ului. În unele cazuri, tema este camuflată ca o verificare de securitate pentru TradingView sau un update Homebrew.
Odată executată, comanda descarcă un fişier „install.sh”, elimină flag-urile care pot ridica suspiciuni, ocoleşte sistemele de verificare (ex: Gatekeeper pe macOS), verifică dacă sistemul rulează într-o maşină virtuală sau mediu de analiză, după care instalează infostealer-ul. Acesta colectează informaţii sensibile precum date de hardware şi memorie, cookies din browsere (Chrome, Safari, Firefox), extensii pentru portofele cry2pto, date din Keychain şi fişiere personale, şi trimite toate aceste informaţii către servere de control externe.
Specialiștii în securitate avertizează că atacul vizează în special dezvoltatorii macOS, dar și utilizatorii obișnuiți pot fi afectați. Recomandarea principală este ca aplicațiile să fie descărcate doar de pe site-urile oficiale, evitând linkurile din reclame, și ca soluțiile de securitate să fie menținute permanent actualizate.
