Campagna falsa di “Mac cleaner” usa Google Ads per reindirizzare a malware

Attenzione agli annunci ingannevoli su Google: i criminali informatici stanno usando sponsorizzazioni false per “Mac cleaner” per infettare i Mac con malware pericoloso. Se cerchi strumenti per pulire il disco del tuo Mac, evita di cliccare su annunci sponsorizzati che promettono soluzioni rapide. Soluzione immediata: usa solo tool ufficiali Apple o antivirus affidabili come Bitdefender, e verifica sempre gli URL prima di procedere.

Questa minaccia si nasconde dietro risultati di ricerca apparentemente innocui, sfruttando la fiducia negli annunci Google per ingannare gli utenti. Le pagine di atterraggio fingono di essere ufficiali, con design identico al sito Apple, per convincerti a eseguire comandi dannosi. Milioni di utenti macOS sono a rischio, soprattutto chi cerca ottimizzazioni di storage o pulizia disco. Non eseguire mai istruzioni da fonti sospette: controlla sempre su support.apple.com per manutenzione legittima.

I malviventi scelgono termini di ricerca comuni come “mac cleaner” per piazzare annunci in cima ai risultati. Questi link portano a domini fidati come docs.google.com o business.google.com, ma un click reindirizza a script malevoli camuffati da tool di pulizia. Messaggi falsi come “Pulizia storage macOS in corso…” illudono l’utente che stia avvenendo una manutenzione normale, mentre in background si attiva il malware.

Perché questa tecnica è così efficace?

• Social engineering avanzato: Le pagine replicano menu di navigazione e elementi interfaccia di Apple, creando un’illusione di legittimità.
• Targeting preciso: Colpisce utenti macOS in cerca di utility gratuite per disk cleanup, un bisogno comune.
• Piattaforme fidate violate: Gli account Google Ads legittimi vengono compromessi per bypassare i controlli, rendendo gli annunci indistinguibili da quelli veri.

Esempi di account coinvolti includono advertiser con annunci misti legittimi e sospetti, suggerendo furti di credenziali. Questa strategia permette di raggiungere scala massiva senza creare nuovi account sospetti.

Consigli pratici per utenti Mac:

• Ignora annunci sponsorizzati per software di sistema.
• Scarica solo dall’App Store o siti ufficiali.
• Installa un antivirus come Bitdefender per scansioni automatiche.
• Ripristina browser se noti reindirizzamenti o pop-up.

Per rimuovere minacce simili, segui questi passi:

• Apri Finder > Applicazioni, elimina programmi sospetti spostandoli nel cestino e svuotalo.
• Esegui scansione completa con tool anti-malware.
• Ripristina impostazioni browser (Safari, Chrome, Firefox).

Queste campagne di malvertising – pubblicità malevole – sono in crescita. Siti come Google Ads diventano vettori ideali perché raggiungono utenti ignari. I criminali guadagnano installando adware che genera revenue da clic e visualizzazioni, o peggio, eseguendo codice remoto per backdoor persistenti.

Analisi del fenomeno malvertising

Il malvertising inietta codice dannoso in annunci legittimi, colpendo anche domini abbandonati o piattaforme popolari. Su Mac, pseudo-ottimizzatori come Advanced Mac Cleaner appaiono improvvisi, inondando con avvisi falsi su file duplicati, spazzatura e spazio disco. Spesso bundled con download gratuiti da fonti non ufficiali, promuovono scareware affiliati e dirottano browser.

Google vieta esplicitamente annunci che distribuiscono malware, inclusi virus, trojan e reindirizzamenti forzati. Tuttavia, account compromessi eludono i filtri iniziali.

Proteggiti proattivamente:

• Abilita Navigazione Sicura su Chrome.
• Evita download da siti non HTTPS.
• Non ignorare avvisi antivirus su aggiornamenti sospetti.

Ora, per chi vuole approfondire, ecco dettagli tecnici.

Approfondimento tecnico

Questa campagna impiega esecuzione remota di codice (RCE) tramite Google Apps Script, con tecniche di offuscamento multiple per evadere rilevamenti.

Variante 1: Catena di comandi offuscati

• Inizia con messaggio social engineering: “Pulizia storage macOS…”.\n- Nasconde comandi Base64-encoded.\n- Usa base64 -D per decodificare in shell eseguibili.\n- Messaggi fasulli come “Installazione pacchetti, attendere…” mascherano l’esecuzione remota.\n
  Variante 2: Esecuzione diretta
• /bin/bash -c lancia argomenti malevoli.\n- Sostituzione comandi $(...) attiva istruzioni nascoste.\n- echo | base64 -d decodifica URL offuscati.\n- curl -fsSL scarica ed esegue script da server controllati, con flag silenti (-f per fail quieto, -s per silent, -S per show errors, -L per location follow).\n
  Nessun feedback sistema avvisa l’utente: tutto avviene in background.\n
  Possibili payload post-esecuzione:
• Installazione malware persistente.\n- Furto chiavi SSH.\n- Backdoor per accesso remoto.\n- Miner crittovalute.\n- Esfiltrazione file sensibili.\n- Modifiche impostazioni critiche.\n
  Indizi di compromissione account Ads:
• Advertiser con mix annunci legittimi/sospetti (es. shop innocui con payload Mac).\n- Probabile accesso via credential stuffing o takeover.\n
  Mitigazioni avanzate:
• Monitora Google Transparency Center per advertiser sospetti.\n- Usa EDR tools per tracciare curl/bash anomalie.\n- Analizza /var/log/system.log per comandi sospetti.\n- Script personalizzato: log show --predicate 'subsystem == "com.apple.launchd"' --last 1h | grep bash per audit rapido.\n
  Per rimozione manuale adware correlati:

1. Finder > Vai alla cartella: ~/Library/Application Support, ~/Library/LaunchAgents, /Library/LaunchDaemons.\n2. Elimina plist sospette (es. com.mac cleaner.plist).\n3. launchctl unload per kill processi.\n4. Scansione BDSYS con tool pro.\n
   Queste tattiche combinano ingegneria sociale e offuscamento tecnico, rendendo la minaccia scalabile. Ricercatori segnalano a Google per takedown, ma la vigilance utente resta chiave. Mantieni macOS aggiornato, usa VPN su reti pubbliche e adotta password manager per credenziali Ads.

Fonte: https://gbhackers.com/fake-mac-cleaner/