Специалисты Cylance обнаружили мошенническую кампанию по распространению вредоносного ПО для macOS через сервис контекстной рекламы Google AdWords. В рамках кампании злоумышленники разместили рекламное объявление в верхних позициях AdWords, отображающееся при вводе в поисковую строку фразы “Google Chrome”. На первый взгляд ссылка в объявлении вела на сайт www.google[.]com/chrome, однако на деле через серию перенаправлений отправляла пользователей macOS на фальшивую страницу googlechromelive.com, предлагающую бесплатно скачать браузер Google Chrome. Однако вместо интернет-обозревателя на компьютер пользователя загружался вредоносный файл FLVPlayer.dmg.
“При каждой загрузке хэш вредоносного ПО изменяется, что усложняет его обнаружение и отслеживание. Пользователи Windows в конечном итоге перенаправляются на сайт admin.myfilessoft.com, при переходе на который на экране отображается сообщение об ошибке”, – отмечают исследователи. Вредоносное ПО, получившее название OSX/InstallMiez или OSX/InstallCore, имитирует запуск файла FLV Player, но в действительности загружает лжеантивирус Macpurifier, информирующий пользователя о наличии вредоносного ПО на системе и необходимости загрузить дополнительные файлы. Эксперты Cylance проинформировали Google о проблеме 25 октября. Вредоносное объявление уже удалено из AdWords. (Cylance/NovostIT)