近来有发现,一种专偷密码、加密货币钱包及其他敏感信息的Mac恶意软件,正通过谷歌广告四处流窜,这已经是近几个月来第二次出现这种滥用广受欢迎的广告平台来感染上网用户的情况了。看来,网上冲浪时得多加小心,别一不小心点了啥,个人信息就被“顺”走了!
安全公司Malwarebytes周一发现,最近的一些广告在推广Mac版的Arc浏览器。这款非传统浏览器去年7月才开始在macOS平台上广泛可用。广告向用户承诺了一个“更平和、更个性化”的体验,其中包括更少的杂乱和干扰,这个营销口号模仿了Arc浏览器制造商——初创公司The Browser Company的宣传语。
但问题来了,所谓的“验证”其实并不靠谱。Malwarebytes指出,点击这些广告后,会引导用户前往一个名为arc-download[.]com的完全假冒的Arc浏览器页面,这个页面看起来和真正的官网几乎一模一样。
深挖一下这个广告背后的买家,你会发现它是由一个叫做"Coles & Co."的实体投放的,而谷歌声称这个广告主的身份经过了它们的验证。但这显然说明,所谓的“验证”并不意味着绝对安全,背后可能还藏着猫腻呢!要是你手痒痒点了那个网站上的下载按钮,就会得到一个.dmg安装文件,看起来和真的Arc浏览器安装文件差不多,就有一点不同:它会让你右键点击文件,然后选择“打开”,而不是常见的直接双击打开。这么做的原因是绕过macOS的一个安全机制——苹果要求只有经过验证的开发者数字签名的应用程序才能被安装,而这个额外的操作就是为了让不明真相的用户跳过这道安全门槛。一番深入挖掘恶意软件代码后发现,一旦这偷窥小能手安装成功,它就会把你的数据发送到一个IP地址79.137.192[.]4那里。而这个地址碰巧托管着一个名叫Poseidon的信息窃取面板,这Poseidon可是犯罪市场上热卖的一款信息盗窃工具。买了这个工具的不法分子,就可以通过这个面板访问到收集到的数据,你的密码、钱包信息等敏感资料就这样落入了坏人之手。Malwarebytes的首席恶意软件情报分析师Jérôme Segura提到:“目前有一个专注于Mac恶意软件开发的活跃场景,特别是信息窃取类恶意软件。正如本文所展示的,这种犯罪活动的背后有许多促成因素。供应商需要说服潜在客户,他们的产品功能丰富,且能避开杀毒软件的检测。”Poseidon自诩为一款全方位服务的macOS信息窃取工具,具备“文件抓取、加密货币钱包提取、从Bitwarden、KeePassXC等密码管理器以及浏览器中窃取数据”等功能。其创建者在犯罪论坛上发布的帖子将其标榜为与Atomic Stealer(另一款针对macOS的同类窃取工具)相竞争的产品。
Segura指出,这两款应用在底层源代码上有许多相似之处。发布该帖的作者Rodrigo4,还为窃取VPN配置信息新增了一个功能,但目前还不可用,可能仍在开发中。这篇论坛帖子出现在上周日,而Malwarebytes在一天后就发现了这些恶意广告。这一发现距离Malwarebytes上次识别出一批推送假冒Windows版Arc的谷歌广告仅一个月之遥。在那场活动中,安装程序会安装疑似针对该平台的信息窃取软件。
就像其他大型广告网络一样,谷歌广告也经常会有恶意内容溜进来,而且往往要等到第三方通知公司后才会被撤下。对于这类疏忽可能造成的损害,谷歌广告是不会承担责任的。公司在一封邮件中表示,一旦发现恶意广告,他们会立即移除,并暂停相关广告主的账号,这次的情况也是这么处理的。如果网民想安装网上广告宣传的软件,最好自己去找官方下载站点,而不是直接点击广告中的链接。而且,如果遇到指导Mac用户通过之前提到的右键点击方式来安装应用的指示,也得留个心眼。Malwarebytes的文章提供了一些受攻击指标,大家可以用这些指标来检查自己是否已经成为了目标。安全第一,上网冲浪时多留个心哦!