A támadók egyre inkább legitim platformokat és megbízhatónak tűnő szolgáltatásokat használnak a klasszikus szoftversebezhetőségek kihasználása helyett. A Bitdefender kutatói egy aktív, kifejezetten macOS-felhasználókat célzó malvertising kapmányt azonosítottak, amely ellopott Google Ads fiókok segítségével terjeszt káros kódokat. A támadók népszerű alkalmazások nevére indított keresésekre jelenítettek meg szponzorált hirdetéseket, mint pl:
- Notepad++
- LibreOffice
- Microsoft Office
- OBS Studio
- Final Cut Pro
Mivel ezek a keresések a termékek pontos neveire céloztak, nagy eséllyel kattintottak rá azok a felhasználók, akik legitim telepítőt kerestek.
A hirdetések nem hivatalos fejlesztői weboldalakra terelték az áldozatokat, hanem egyetlen fiókhoz tartozó, megosztott Evernote-jegyzetekre irányították őket. Ezek az oldalak telepítési útmutatónak álcázták magukat, és lépésről lépésre arra utasították a felhasználót, hogy nyissa meg a Terminált, majd futtasson egy Base64-kódolt parancsot. A kód lefuttatásával telepítésre kerül a MacSync Stealer egy újabb, v1.1.2_release („symbiot” bulit taggel ellátott) változata. Ez a kártevő fiókátvételre és pénzügyi visszaélésekre specializálódott, azaz képes fájlokat és dokumentumokat, böngésző sütiket, bejelentési adatbázisokat, Telegram-adatokat, valamint a macOS Jegyzetek tartalmát kiszivárogtatni. Célba veszi a kriptotárcákat, böngészőket és akár hamis macOS jelszókérő ablakot is megjeleníthet a rendszerhitelesítési adatok megszerzésére.
A vizsgálat során több mint 35 kompromittált Google Ads fiókot és több mint 200 rosszindulatú hirdetést azonosítottak, különböző országokból. Számos érintett fiók korábban legitim szervezetekhez tartozott, mint például ügyvédi irodákhoz, jótékonysági szervezetekhez vagy kereskedelmi vállalatokhoz. Ez arra utalhat, hogy a támadók nem új hirdetői identitásokat hoztak létre, hanem már meglévő üzleti profilokat vettek át, amelyek korábbról már számlázási beállításokkal, előzménnyel rendelkeztek, így kevésbé tűntek gyanúsnak.
A Bitdefender infrastruktúra-átfedéseket és újrahasznosított API-kulcsokat is talált, amelyek kapcsolatot mutatnak korábbi, Clickfix kampányokkal. Ezek Meta hirdetéseket használtak hamis telepítők terjesztésére, ami feltehetően egy szélesebb ökoszisztéma működésére utalhat, több nagy hirdetési platformon macOS, illetve Windows-felhasználók célzott támadásával.
A fizetett keresési találatok precíz célzást és széles körű elérést tesznek lehetővé, miközben a felhőszolgáltatások és fájlmegosztó platformok köztes infrastruktúraként megnehezítik a felderítést és a tartalmak eltávolítását.