Οι κυβερνοεγκληματίες αξιοποιούν πλέον τα Google Search Ads για να παγιδεύσουν χρήστες macOS, κατευθύνοντάς τους σε ψεύτικες ιστοσελίδες που υπόσχονται καθαρισμό και βελτιστοποίηση των υπολογιστών τους. Οι διαφημίσεις αυτές εμφανίζονται σε αναζητήσεις όπως «mac cleaner» ή «clear cache macos», δημιουργώντας την ψευδαίσθηση ότι πρόκειται για νόμιμες και αξιόπιστες υπηρεσίες.
Οι σελίδες προορισμού είναι σχεδιασμένες ώστε να μοιάζουν σχεδόν πανομοιότυπες με την επίσημη ιστοσελίδα της Apple, με γνώριμη δομή, μενού και αισθητική. Πίσω όμως από αυτή την επαγγελματική εικόνα κρύβεται ένα επικίνδυνο σχήμα, που στοχεύει ανυποψίαστους χρήστες Mac.
Mac Cleaner: Ψεύτικες οδηγίες και κοινωνική μηχανική
Οι επιτιθέμενοι έχουν δημιουργήσει πλαστά άρθρα και αναρτήσεις σε πλατφόρμες όπως το Medium και σε υπηρεσίες της ίδιας της Google, όπου παρέχουν δήθεν τεχνικές οδηγίες. Οι οδηγίες αυτές υπόσχονται απελευθέρωση χώρου ή ενημερώσεις συστήματος, αλλά στην πραγματικότητα μπορούν να δώσουν στους hackers πλήρη έλεγχο του υπολογιστή του θύματος.
Η καμπάνια βασίζεται στην εμπιστοσύνη των χρηστών τόσο στο διαφημιστικό σύστημα της Google όσο και στη χαρακτηριστική σχεδίαση της Apple. Σύμφωνα με αναλύσεις της MacKeeper, οι δράστες χρησιμοποιούν παραβιασμένους λογαριασμούς Google Ads, που ανήκαν σε νόμιμους διαφημιζόμενους, όπως ο «Nathaniel Josue Rodriguez» ή επιχειρήσεις τύπου «Aloha Shirt Shop».
Πώς λειτουργεί η μόλυνση με malware
Ο πυρήνας της επίθεσης είναι μια φαινομενικά αθώα εντολή, μεταμφιεσμένη ως εργασία συντήρησης. Όταν ο χρήστης αντιγράψει και επικολλήσει τις οδηγίες στο Terminal, ενεργοποιεί άθελά του μια επίθεση remote code execution.
Μηνύματα όπως «Cleaning macOS Storage» ή «Installing packages please wait» λειτουργούν ως τεχνάσματα κοινωνικής μηχανικής. Στο παρασκήνιο, υπάρχει κώδικας σε base64, ο οποίος αποκωδικοποιείται και μετατρέπεται σε εντολή shell που κατεβάζει κακόβουλο script από απομακρυσμένο server. Το script εκτελείται με πλήρη δικαιώματα χρήστη, επιτρέποντας εγκατάσταση malware, κλοπή SSH keys, δημιουργία backdoors, εξόρυξη κρυπτονομισμάτων ή υποκλοπή προσωπικών αρχείων.
Οι ερευνητές της MacKeeper εντόπισαν και ανέφεραν τις κακόβουλες διαφημίσεις στη Google, η οποία προχώρησε στην αφαίρεσή τους από τα αποτελέσματα αναζήτησης. Το περιστατικό υπενθυμίζει ότι ακόμη και οι «χορηγούμενες» διαφημίσεις μπορεί να κρύβουν σοβαρούς κινδύνους για την κυβερνοασφάλεια.