Mac 用户通过 Google 广告感染信息窃取恶意软件

盖蒂图片社

窃取密码、加密货币钱包和其他敏感数据的 Mac 恶意软件被发现通过谷歌广告传播，这至少是几个月内这个广泛使用的广告平台第二次被滥用来感染网络冲浪者。

安全公司 Malwarebytes 周一发现的最新广告宣传了 Mac 版 Arc，这是一款适用于 macOS 平台的非传统浏览器 去年七月该产品列表承诺为用户提供“更平静、更个性化”的体验，减少混乱和干扰，这一营销信息与 Arc 的初创制造商 The Browser Company 所传达的信息相似。

当验证未通过时

根据 Malwarebytes，点击广告会将网络浏览者重定向至 arc-download[.]com，这是一个完全伪造的 Arc 浏览器页面，看起来与 真正的。

Malwarebytes

进一步挖掘后发现，该广告是由一家名为 Coles & Co 的实体购买的，谷歌声称已经验证了该广告商的身份。

Malwarebytes

点击 arc-download 上的下载按钮的访问者[.]com 将下载一个与正版相似的 .dmg 安装文件，但有一个不同之处：指示通过右键单击并选择打开来运行文件，而不是更直接的双击文件的方法。这样做的原因是为了绕过 macOS 的安全机制，该机制阻止安装应用程序，除非它们由 Apple 审查过的开发人员进行数字签名。

Malwarebytes

对恶意软件代码的分析表明，一旦安装，窃取程序就会将数据发送到 IP 地址 79.137.192[.]4. 该地址恰好托管了 Poseidon 的控制面板，Poseidon 是犯罪市场上积极销售的一款窃取软件的名称。该控制面板允许客户访问可以访问所收集数据的帐户。

Malwarebytes

Malwarebytes 首席恶意软件情报分析师 Jérôme Segura 写道：“Mac 恶意软件开发活动非常活跃，主要针对窃取程序。正如我们在这篇文章中看到的那样，这种犯罪行为的形成有很多因素。供应商需要让潜在客户相信他们的产品功能丰富，而且防病毒软件检测率很低。”

Poseidon 宣称自己是一款全方位的 macOS 窃取程序，其功能包括“文件抓取、加密货币钱包提取、Bitwarden、KeePassXC 等管理器的密码窃取以及浏览器数据收集”。窃取程序创建者在犯罪论坛上发布的帖子称，它是 Atomic Stealer（一款类似的 macOS 窃取程序）的竞争对手。Segura 表示，这两款应用程序共享大量相同的底层源代码。

帖子作者 Rodrigo4 添加了一项新功能，用于窃取 VPN 配置，但目前无法使用，可能是因为该功能仍在开发中。该论坛帖子于周日发布，Malwarebytes 一天后发现了恶意广告。这一发现是在 Malwarebytes 发布一个月后 已识别 另一批 Google 广告推销了适用于 Windows 的 Arc 的假版本。该广告系列中的安装程序安装了该平台的疑似信息窃取程序。

Malwarebytes

与大多数其他大型广告网络一样，Google Ads 会定期投放恶意内容，除非第三方通知该公司，否则不会将其删除。Google Ads 对因这些疏忽而造成的任何损失不承担任何责任。该公司在一封电子邮件中表示，一旦发现恶意广告，就会删除这些广告，并暂停广告客户的广告，在本案中，该公司已经采取了这一措施。

想要安装网上宣传的软件的人应该寻找官方下载网站，而不是依赖广告中链接的网站。他们还应该警惕任何指导 Mac 用户通过前面提到的右键单击方法安装应用程序的指令。Malwarebytes 的帖子提供了人们可以用来确定自己是否受到攻击的指标。