Google Ads impulsionam ataque contra devs de macOS com falsos Homebrew e LogMeIn

Hackers lançaram uma nova e sofisticada campanha de malvertising direcionada a desenvolvedores e usuários do macOS, utilizando anúncios pagos do Google Ads para promover sites falsos que imitam plataformas populares como Homebrew, LogMeIn e TradingView. A tática visa enganar as vítimas para que executem comandos maliciosos no Terminal, instalando malware ladrão de informações, conhecido como infostealer, como o perigoso AMOS (Atomic macOS Stealer) e o novo Odyssey.

Pesquisadores da empresa de caça a ameaças Hunt.io identificaram mais de 85 domínios fraudulentos nessa campanha, todos se passando pelas plataformas legítimas. A estratégia dos invasores é fazer com que esses sites falsos apareçam nos primeiros resultados de busca do Google, geralmente acima dos links legítimos, explorando a confiança dos usuários em publicidade online.

A campanha emprega técnicas de engenharia social apelidadas de “ClickFix”, onde os alvos são induzidos a copiar e colar comandos no Terminal para supostamente instalar ou corrigir o aplicativo.

• Sites Maliciosos: Os sites falsos apresentam portais de download convincentes. No caso do Homebrew (um popular gerenciador de pacotes open-source para macOS), o hacker instrui o usuário a copiar um comando curl no Terminal para "instalar" o software.

• Confirmação Falsa: Em outros casos, como no TradingView (plataforma de análise financeira), os comandos maliciosos são disfarçados como uma "etapa de confirmação de segurança de conexão". Ao clicar no botão 'copiar', o usuário recebe um comando de instalação codificado em Base64 na área de transferência, em vez do ID de verificação legítimo do Cloudflare.

Ao ser executado, o comando secreto baixa e decodifica um arquivo install.sh, que, por sua vez, baixa um binário malicioso, removendo as sinalizações de quarentena do macOS para burlar os prompts do Gatekeeper e permitir sua execução.

A payload final é um infostealer que, antes de tudo, verifica se o ambiente é uma máquina virtual (VM) ou um sistema de análise para evitar detecção. Em seguida, o malware invoca o comando sudo para obter privilégios de root, dando-lhe controle total sobre o sistema.

Uma vez instalado, o malware inicia a coleta de informações detalhadas de hardware e memória do host, manipula serviços do sistema (como encerrar daemons de atualização do OneDrive) e interage com serviços XPC do macOS para mascarar sua atividade maliciosa como processos legítimos.

Os componentes ladrões de dados são, então, ativados, roubando informações sensíveis, incluindo:

• Credenciais e dados armazenados em navegadores (Chrome, Firefox e Safari).

• Credenciais de criptomoedas e dados de mais de cem extensões de carteiras digitais.

• Dados do Keychain do macOS (que armazena senhas).

• Arquivos pessoais.

Tanto o AMOS, que opera como Malware-as-a-Service (MaaS) por assinatura e recentemente ganhou um componente de backdoor para persistência remota, quanto o Odyssey Stealer, uma nova família derivada do AMOS, enviam todas as informações coletadas para o servidor de comando e controle (C2) dos hackers em formato ZIP.

Pesquisadores reforçam a recomendação de segurança essencial: usuários jamais devem colar comandos no Terminal encontrados online sem entender exatamente o que eles fazem, especialmente aqueles provenientes de anúncios ou fontes não verificadas.

Via - BC