Campaña maliciosa de Google Ads contra usuarios de Mac

Según una investigación de Bitdefender Labs, hay una campaña activa de malvertising en la que hasta el momento han aparecido más de 200 anuncios maliciosos. Utilizando el sistema de Google Ads y cuentas pirateadas, ofrecen aplicaciones para Mac como 7-Zip, Notepad++, LibreOffice, Microsoft Office, OBS Studio o Final Cut Pro y en su lugar distribuyen una variante del malware MacSync Stealer.

Si las víctimas potenciales hacen clic en los anuncios, “son redirigidas a páginas compartidas de Evernote donde se los engaña para que ejecuten comandos de Terminal peligrosos” que despliegan el malware. Diseñado para robar cuentas y dinero, se dirige a monederos de criptomonedas, gestores de contraseñas, datos de navegador y aplicaciones como Telegram.

Bitdefender ha identificado al menos 35 cuentas de anunciantes de Google que han sido pirateadas para la compaña, procedentes de Estados Unidos, Canadá, Italia, Polonia, Brasil, India, Arabia Saudí, Japón, China, Rumanía, Malta, Eslovenia, Alemania, Reino Unido y Emiratos Árabes Unidos. Para la compañía, esta dispersión geográfica significa que no son nuevos perfiles falsos de anunciante, sino negocios legítimos que se han visto comprometidos.

La versión de MacSync, parte del ecosistema ClickFix, es la v1.1.2 (symbiot”). La compañía explica que se trata de una evolución respecto a variantes documentadas previamente, aunque utiliza la misma estructura de llave API que se observó en otras campañas de ClickFix. Esa reutilización y los “patrones de infraestructura superpuestos” indicarían que estas operaciones no son incidentes aislados.