Es habitual ponernos a navegar y que con el ratón vayamos cerrando anuncios de Google que, de ipso facto, aparecen en nuestra pantalla. O como mínimo ignorarlos. Es esta una práctica habitual y casi aconsejable. Y es que, detrás de estos anuncios comerciales pueden encontrarse las peores de las intenciones.
Recientemente se ha detectado un malware dirigido a usuarios de Mac que tiene la capacidad de robar contraseñas, billeteras de criptomonedas y otros datos sensibles. Este software malicioso se está propagando a través de anuncios de Google. Esto es, al menos que se conozca, la segunda ocasión en los últimos meses en que la plataforma publicitaria ha sido utilizada para infectar a los internautas.
Descubrimiento del malware
La firma de seguridad Malwarebytes identificó este pasado lunes los anuncios maliciosos que promocionan versiones falsas para Mac de Arc, un navegador relativamente nuevo disponible para macOS desde julio del año pasado.
Estos anuncios engañosos prometen una experiencia de navegación «más tranquila y personal», emulando el mensaje oficial de The Browser Company, la empresa detrás de Arc.
Al hacer clic en los anuncios, los usuarios son redirigidos a arc-download[.]com, una página falsa que imitaba casi perfectamente al sitio legítimo. A pesar de que Google verificó a la entidad anunciante, Coles & Co, los visitantes que descargan el archivo de instalación .dmg desde este sitio reciben instrucciones sospechosas para eludir un mecanismo de seguridad de macOS.
Estas indicaciones de hacer clic y seleccionar abrir en lugar del doble clic estándar, tenían la finalidad de evadir la verificación de aplicaciones no firmadas digitalmente por desarrolladores aprobados por Apple.
Análisis y consecuencias
El análisis del código del malware reveló que, una vez instalado, el programa malicioso envia datos a la dirección IP 79.137.192[.]4, donde se aloja el panel de control de Poseidon, un ladrón de información que se vende en mercados criminales.
Este panel permite a los delincuentes acceder a cuentas comprometidas y datos recopilados. Jérôme Segura, analista principal de inteligencia de malware en Malwarebytes, ha indicado que el desarrollo de malware para Mac, específicamente dirigido a robar información, va en aumento.
Poseidon se promociona como un ladrón de macOS completo, con funcionalidades que incluyen la captura de archivos, extracción de billeteras de criptomonedas, robo de contraseñas de gestores como Bitwarden y KeePassXC, y recopilación de datos del navegador. Este software malicioso se presenta como competidor de Atomic Stealer, otro ladrón de macOS con código fuente similar.
Medidas de precaución a tener en cuenta
El descubrimiento del malware ha tenido lugar un mes después de que Malwarebytes identificara otra campaña de anuncios falsos de Google que promocionaban una versión de Arc para Windows, que también resultó ser un ladrón de información.
Google Ads, al igual que otras grandes redes publicitarias, se enfrenta regularmente a problemas de contenido malicioso, que no se elimina hasta que terceros lo reportan. La empresa asegura que elimina estos anuncios y suspende a los anunciantes cuando se entera de tales incidentes, como ocurrió en este caso.
Para protegerse, se recomienda a los usuarios que deseen instalar el software anunciado on line que busquen el sitio oficial de descarga en lugar de confiar en los enlaces proporcionados en los anuncios.
Además, deben desconfiar de las instrucciones que sugieren métodos inusuales de instalación, como el uso del clic con el botón derecho para abrir archivos en macOS. Malwarebytes ha proporcionado indicadores de compromiso que pueden ayudar a las personas a determinar si han sido atacadas.
En definitiva, este incidente subraya la necesidad de una vigilancia continua y medidas de seguridad robustas para proteger los datos personales y financieros de los usuarios en línea.