Реклами Google використовувалися для розповсюдження шкідливого ПЗ для Mac

Експерти нещодавно виявили шкідливе програмне забезпечення macOS, замасковане під популярний додаток для запису екрана Loom, яке поширюється через оманливі URL-адреси, спонсоровані Google.

Lab Moonlock виявила складне шкідливе програмне забезпечення macOS, замасковане під Loom, організоване сумнозвісною групою Crazy Evil. Воно використовує оманливі URL-адреси, спонсоровані Google, щоб обманом змусити користувачів завантажувати шкідливе програмне забезпечення.

Розслідування почалося, коли Lab Moonlock виявила рекламне оголошення Google, що просуває офіційний додаток Loom. Реклама виглядала легітимно і заохочувала користувачів натиснути на посилання від надійного джерела.

Однак, натиснувши на посилання, користувачі перенаправлялися на сайт, майже ідентичний офіційному сайту Loom, розміщеному на smokecoffeeshop[.]com. Користувачів закликали завантажити те, що вони вважали Loom, шкідливий файл, що містить програми-злодії.

Кампанія не обмежувалася лише Loom. Нападники також створили підроблені версії інших популярних додатків, включаючи Figma, TunnelBlick (VPN), Callzy та файл із підозрілою назвою BlackDesertPersonalContractforYouTubepartners[.]dmg.

Реклами Google використовувалися для розповсюдження шкідливого ПЗ для Mac

Останній приклад пропонує фішингову кампанію, націлену на творців контенту YouTube, тактику, яку раніше використовували проти користувачів Windows, але тепер адаптовано для macOS.

Подібні фішингові електронні листи були надіслані користувачам Windows у 2022 році. Користувачі Mac стикаються з тими самими загрозами, коли зловмисники експлуатують відносини між ігровими компаніями та творцями контенту. Вони заманюють блогерів та творців контенту обіцянками прибуткових контрактів для просування ігор, таких як Black Desert Online, на їх каналах.

Шкідливий клон LedgerLive

Аспект кампанії передбачає використання стілера, який замінює законний додаток LedgerLive на шкідливий клон. LedgerLive широко використовується власниками криптовалюти, що робить його ціллю для кіберзлочинців.

Зловмисники можуть отримати доступ до криптогаманців жертв і вичерпати їх, замінивши справжній додаток шкідливою версією. Шкідливий клон імітує зовнішній вигляд та функціональність легітимного додатка, що ускладнює користувачам виявлення компрометації.

Розслідування Moonlock Lab виявило стрічки з "Ledger" в інфікованих файлах, що підтверджує шкідливий намір щодо криптоактивів користувачів. Викрадач, ідентифікований як варіант AMOS, зберігає ключові функції, такі як захоплення файлів, інформації про апаратне забезпечення, паролів, даних з браузерів та злиття облікових даних з ключових ланцюжків.

Рекрутинг на даркнеті та атрибуція

Оголошення про рекрутинг на даркнеті, розміщене Crazy Evil, шукає осіб для приєднання до команди, яка використовує цей варіант викрадача для macOS. Оголошення про рекрутинг деталізує переваги, такі як надійний захист та використання різних форматів для різних жертв.

Реклами Google використовувалися для розповсюдження шкідливого ПЗ для Mac

Цікаво, що Moonlock Lab виявила IP-адресу, пов'язану з урядовою організацією, з високим рівнем асоціації з шкідливим ПЗ та 93 файлами, позначеними як шкідливе ПЗ. IP-адреса розміщувала файли, пов'язані з macOS, з кампанії, що розпочалася 23 липня 2024 року.

Як користувачі Mac можуть залишатися в безпеці

Користувачі Mac можуть захистити себе, вживаючи проактивних заходів. Завжди двічі перевіряйте URL-адреси при завантаженні файлів, навіть з надійних джерел, таких як Google Ads або топ-результати пошуку.

Регулярно скануйте свій пристрій за допомогою надійних антивірусних інструментів, таких як CleanMyMac X з Moonlock Engine, щоб переконатися у відсутності шкідливого ПЗ. Оновлюйте програмне забезпечення, щоб захиститися від відомих вразливостей.

Нарешті, будьте обережні з електронними листами, що пропонують контракти чи угоди від невідомих відправників, щоб уникнути фішингових схем. Вбудовані функції безпеки Mac, Gatekeeper та XProtect, надають додатковий захист від шкідливого ПЗ і ввімкнені за замовчуванням.

Джерело: appleinsider.com

Роман Мельник

Роман має пристрасть до технологій та інновацій. Він завжди в курсі останніх новин у сфері IT та постійно вивчає нові технології. Роман любить ділитися своїми знаннями та досвідом з іншими через статті та огляди. У вільний час він займається програмуванням та тестуванням нових гаджетів.

Роман Мельник
Редактор
Орися avatar

Ну звісно ж! Щоразу як включаю свій мак і бачу таку рекламу, відчуваю себе наче в зоні бойових дій - ніколи не знаєш, де тебе чекає підвох. Google зовсім не контролює що показує своїм користувачам! Ну або вже навмисно шкодить Apple. На Android, звісно, таких проблем менше. Там все просто - поставив антивірус і спи спокійно. А тут зловив вірус і гадаєш, звідки все пішло...

avatar
avatar