Il est courant de commencer à naviguer et avec la souris on ferme les publicités Google qui, ipso facto, apparaissent sur notre écran. Ou du moins, ignorez-les. Il s’agit d’une pratique courante et presque recommandée. Et les pires intentions se cachent derrière ces publicités commerciales.
Des logiciels malveillants ciblant les utilisateurs de Mac ont récemment été détectés. la possibilité de voler des mots de passe, des portefeuilles de crypto-monnaie et d’autres données sensibles. Ce malware se propage via les publicités Google. C’est, du moins à notre connaissance, la deuxième fois au cours des derniers mois que la plateforme publicitaire est utilisée pour infecter les internautes.
Découverte de logiciels malveillants
La société de sécurité Malwarebytes a identifié lundi dernier le Publicités malveillantes faisant la promotion de fausses versions Mac d’Arcun navigateur relativement nouveau disponible pour macOS depuis juillet de l’année dernière.
Ces publicités trompeuses promettent une expérience de navigation « plus silencieuse et plus personnelle », imitant le message officiel de The Browser Company, la société derrière Arc.
En cliquant sur les annonces, les utilisateurs sont redirigés vers arc-download[.]com, une fausse page qui imitait presque parfaitement le site légitime. Bien que Google ait vérifié l’entité publicitaire Coles & Co, les visiteurs qui téléchargent le fichier d’installation .dmg à partir de ce site reçoivent des instructions suspectes pour contourner un mécanisme de sécurité macOS.
Ces invites à cliquer et à sélectionner Ouvrir au lieu du double-clic standard étaient destinées à contourner la vérification des applications non signées numériquement par des développeurs approuvés par Apple.
Analyse et conséquences
L’analyse du code du malware a révélé qu’une fois installé, Le programme malveillant envoie des données à l’adresse IP 79.137.192[.]4, où se trouve le panneau de commande Poséidonun voleur d’informations vendues sur les marchés criminels.
Ce panneau permet aux criminels d’accéder aux comptes compromis et aux données collectées. Jérôme Segura, analyste principal des renseignements sur les logiciels malveillants chez Malwarebytes, a indiqué que Le développement de logiciels malveillants sur Mac, spécifiquement destinés à voler des informations, est en augmentation.
Poséidon est présenté comme un voleur macOS à part entière, avec des fonctionnalités telles que la capture de fichiers, l’exploitation de portefeuilles de crypto-monnaie, le vol de mots de passe de gestionnaires comme Bitwarden et KeePassXC et la collecte de données de navigateur. Ce malware se présente comme un concurrent d’Atomic Stealer, un autre voleur macOS avec un code source similaire.
Mesures de précaution à prendre en compte
La découverte du malware est intervenue un mois après que Malwarebytes a identifié une autre fausse campagne publicitaire Google faisant la promotion d’une version d’Arc pour Windows, qui s’est également révélée être un voleur de données.
Google Ads, comme d’autres grands réseaux publicitaires, est régulièrement confronté à des problèmes de contenu malveillant, qui n’est supprimé que lorsque des tiers le signalent. La société affirme qu’elle supprime ces publicités et suspend les annonceurs lorsqu’elle a connaissance de tels incidents, comme cela s’est produit dans ce cas.
Pour se protéger, il est conseillé aux utilisateurs souhaitant installer des logiciels annoncés en ligne de rechercher le site de téléchargement officiel au lieu de se fier aux liens fournis dans les publicités.
En outre, doit se méfier des instructions suggérant des méthodes d’installation inhabituelles, comme utiliser le clic droit pour ouvrir des fichiers sur macOS. Malwarebytes a fourni des indicateurs de compromission qui peuvent aider les utilisateurs à déterminer s’ils ont été attaqués.
En fin de compte, cet incident souligne la nécessité d’une vigilance continue et de mesures de sécurité robustes pour protéger les données personnelles et financières des utilisateurs en ligne.
