Duas mãos femininas sobre Macbook feito com papel recortado, com palavra MALWARE na tela, ao lado de um copo virado com café derramado
Freepik/rawpixel.com

Anúncios maliciosos circulando pelo Google Ads estão infectando Macs com malware que rouba dados de gerenciadores de senhas, carteiras de criptomoedas e outras informações sensíveis. Este é pelo menos o segundo incidente em dois meses em que a popular plataforma de anúncios é utilizada para disseminar malware.

Na última segunda-feira, a empresa de segurança Malwarebytes detectou anúncios promovendo versões do navegador Arc (arc.net) para Mac, prometendo uma experiência “mais calma e pessoal” sem distrações, semelhante ao marketing da empresa The Browser Company, desenvolvedora do Arc.

Ao clicar nos anúncios, os usuários eram redirecionados para o site arc-download.com, uma página falsa quase idêntica à real. A publicidade foi adquirida por uma entidade chamada Coles & Co, que tem selo de verificada pelo Google.

Os visitantes que clicam no botão de download no site falso recebem um arquivo de instalação .dmg semelhante ao genuíno, exceto pelas instruções para abrir o arquivo clicando com o botão direito e selecionando “Abrir”, em vez do método tradicional de duplo clique. Essa instrução visa contornar um mecanismo de segurança do macOS que impede a instalação de aplicativos que não são assinados digitalmente por um desenvolvedor verificado pela Apple.

Análises do código do malware mostram que, uma vez instalado, o programa envia dados para o endereço IP 79.137.192.4, que hospeda um painel de controle do Poseidon, um conhecido malware vendido em mercados criminosos. O painel permite que clientes acessem contas onde os dados coletados são armazenados.

painel de controle do Poseidon
Malwarebytes/Reprodução
Painel de controle do Poseidon
 

Segundo Jérôme Segura, analista líder de inteligência de malware na Malwarebytes, em uma publicação no blog da empresa, há um cenário ativo de desenvolvimento de malwares para Mac focado em stealers. O Poseidon é anunciado como um stealer completo para macOS, capaz de capturar arquivos, extrair carteiras de criptomoedas, roubar senhas de gerenciadores como Bitwarden e KeePassXC, e coletar dados de navegadores. Criado por um usuário de fórum conhecido como Rodrigo4, o Poseidon recentemente adicionou uma nova funcionalidade para roubar configurações de VPN, ainda em desenvolvimento.

O post da Malwarebytes foi publicado um dia após a detecção dos anúncios maliciosos. Um mês antes, outra campanha com anúncios do Google promovendo uma versão falsa do Arc para Windows havia sido identificada. O instalador daquela campanha também distribuía um infostealer e empregava diversas técnicas, como ocultar código malicioso em um arquivo de imagem.

Segurança e prevenção

O Google Ads, como outras grandes redes de publicidade, frequentemente veicula conteúdo malicioso, removido somente após notificação de terceiros. A empresa afirmou por e-mail que remove anúncios maliciosos assim que toma conhecimento deles e suspende os anunciantes responsáveis, o que foi feito neste caso.

Para evitar ser vítima desse tipo de golpe, recomenda-se que os usuários busquem o site oficial do software em vez de confiar em links de anúncios. Também é importante desconfiar de instruções que orientam a instalar aplicativos utilizando métodos incomuns, em vez do método oficial do sistema.

Ad Blockers, ou bloqueadores de anúncios, também desempenham um papel crucial na proteção dos usuários contra ameaças como malware disseminado por anúncios maliciosos. Esses programas impedem que anúncios indesejados sejam exibidos, reduzindo significativamente a exposição a conteúdos potencialmente perigosos e atuando como uma barreira adicional de segurança.

Veja também: Ad blockers são importante arma contra spyware governamental

Serviços de DNS com filtragem, como o AdGuard, são outra camada essencial de proteção para prevenir ataques online. Esses serviços trabalham filtrando e bloqueando automaticamente listas de domínios identificados por hospedarem malware, phishing e outros tipos de ameaças. Ao impedir que o navegador acesse sites maliciosos, esses serviços protegem os usuários de se tornarem vítimas de ataques antes mesmo que o conteúdo perigoso seja carregado. Juntos, Ad Blockers e serviços de DNS com filtragem oferecem uma defesa robusta contra as crescentes ameaças na internet.