Google Ads leiden macOS-ontwikkelaars naar malware

In dit artikel:

Onderzoekers van Hunt.io ontdekten begin deze maand een netwerk van meer dan 85 domeinen die ontwikkelaars doelgericht misleiden met valse downloadpagina’s die lijken op platforms als Homebrew, LogMeIn en TradingView. De campagne verspreidt macOS-malwarefamilies Odyssey Stealer en AMOS (Atomic macOS Stealer) om systeemgegevens, browsertokens, Keychain-informatie en cryptowallet-inloggegevens te stelen.

De technieken zijn social-engineering gericht: nep‑downloadpagina’s tonen een “Copy command”-knop die een base64-gecodeerd Terminal-commando op het klembord plaatst. Wanneer een gebruiker dit plakt en uitvoert, wordt een shellscript binnengehaald dat macOS‑beveiligingen omzeilt, probeert sudo-rechten te verkrijgen, processen (zoals OneDrive‑updates) stopt en vervolgens gevoelige data naar een command‑and‑controlserver exfiltreert.

BleepingComputer rapporteert dat de aanvallers betaald verkeer via Google Search‑advertenties inzetten om nietsvermoedende zoekers naar kwaadaardige domeinen (bijv. homebrewonline.org, tradingviewen.com, filmoraus.com) te leiden, soms verpakt als een valse beveiligingscontrole. De gebruikte infrastructuur – hergebruikte servers en SSL‑certificaten teruggaand tot 2023, vaak geregistreerd op individuen – duidt op een geordende, semi‑professionele operatie.

De inzet van malvertising is een duidelijke escalatie: aanvallers verplaatsen zich van phishinglinks naar betaalde zoekadvertenties om geloofwaardige verspreiding te bereiken. De campagne is nog actief en onderzoekers verwachten verdere aanpassingen om detectie te ontwijken.

Praktische tips: plak en voer geen onbekende Terminal‑commando’s uit, controleer domeinnamen en certificaatdetails, download software alleen van officiële bronnen en houd macOS‑beveiliging en anti‑malware up‑to‑date.