Um novo esquema fraudulento voltado a usuários de computadores Mac foi identificado em anúncios patrocinados do Google. Cibercriminosos estão divulgando um malware camuflado como utilitário de otimização do macOS, utilizando páginas falsas que reproduzem com alto grau de fidelidade o visual do site oficial da Apple.
De acordo com pesquisadores do MacKeeper, os golpistas exploram o Google Ads para posicionar o endereço fraudulento entre os primeiros resultados de buscas por termos como “Mac cleaner”. Essa tática aumenta significativamente a probabilidade de cliques por parte de usuários que procuram soluções confiáveis para liberar espaço e melhorar o desempenho do sistema.
Ao acessar a página falsa, o visitante não encontra um aplicativo para download. Em vez disso, recebe instruções para executar uma série de comandos diretamente no Terminal do macOS, sob a promessa de realizar uma limpeza no armazenamento do computador. O site utiliza logotipos, fontes e elementos gráficos semelhantes aos da Apple, o que contribui para criar uma falsa sensação de legitimidade.
Comandos instalam malware disfarçado de utilitário
Na realidade, os comandos fornecidos são maliciosos. Quando executados, eles decodificam uma string em Base64 e baixam um script a partir de um servidor remoto. Esse script é executado com os privilégios do usuário e exibe mensagens enganosas, como “Limpando o armazenamento do macOS”, para simular uma operação legítima.
Segundo os pesquisadores, o malware concede acesso remoto ao dispositivo comprometido. A partir desse ponto, os atacantes podem roubar arquivos pessoais, coletar chaves SSH e instalar outras cargas maliciosas no sistema da vítima.
Como os anúncios eram veiculados por meio do Google Ads, os sites fraudulentos apareciam em posições de destaque nos resultados de busca. Isso aumentava o risco de usuários menos experientes acreditarem se tratar de uma ferramenta oficial da Apple e seguirem as instruções sem suspeitar.
O MacKeeper informou que os anunciantes possuíam registros válidos no Google Ads. Após a comunicação dos pesquisadores, o Google agiu rapidamente e removeu o anúncio malicioso da plataforma.
