MacOS není neprůstřelný: Virus útočí přes reklamy Google na počítače Apple. Ohrožuje vás při každém vyhledávání

Do počítače si ho uživatel stáhne zcela nevědomky sám, a to de facto vždy, když vyhledává program ke stažení přes Google, kde ho mohou tzv. namotat hackeři.

MacBook černé barvy

Kybernetičtí zločinci nachází stále nové způsoby, jak se dostat k penězům ostatních lidí. Mnohem častěji si přitom berou do hledáčku zařízení s OS Android a Windows, ale rozhodně to neznamená, že by ostatní zůstala z obliga. Redakce Mobify ale varuje, že mohou uživatelé počítačů Apple, tedy s macOS, čelit poměrně novému viru Atomic macOS Stealer (zkratkou značený jenom AMOS), který se objevil ke konci roku 2023 a napadá zařízení prostřednictvím reklamních jednotek Google.

AMOS krade hesla přímo z iCloud

Co je virus Atomic macOS Stealer, jsme už na Mobify psali – jakmile se dostane do zařízení, získá přístup k informacím uloženým na iCloudu a vytáhne z něj údaje o platebních kartách, souborech, heslech a mnoho dalšího. Uživatel si ho přitom nejčastěji stáhne jako součást nějaké neprověřené aplikace – typicky se jedná o takovou, kterou nenajdete v App Store (ani Mac App Store).

Nově dokáže AMOS útočit přes reklamy Google

Malwarebytes nicméně upozorňuje, že byl virus AMOS nalezen koncem roku 2023 dokonce i v některých reklamních jednotkách Googlu. Jak? Výzkumníci se domnívají, že aktéři zneužívají cizí účty k nákupu reklam, a když na ně někdo klikne, je převeden na stránky, z nichž následně čelí tzv. phisingovým útokům. Zmíněný zdroj popsal metodiku následovně:

„Uživatelé, kteří si chtějí stáhnout nový program, využijí vyhledávání přes Google, kde mohou narazit na aktéry hrozeb. Ti kupují reklamy odpovídající známým značkám a klamou oběti, aby navštívily jejich stránky pod záminkou, že jsou oficiální. Ve skutečnosti jsou ovšem přesměrovány na stránky hostované jinde.“

Výzkumníci to uvedli konkrétně na případu stránek Tradingview.com, jíž hackeři zneužili: uvedená reklama pro TradingView používá speciální znaky písma, kdy je tradıņgsvıews[.]COM vloženo se znaky Unicode: trad\u0131\u0146gsv\u0131ews[.]com – možná jako pokus vypadat jako skutečná doména a vyhnout se detekci při kontrolách kvality reklam Google.

A když uživatel na stránku přejde, vypadá de facto autenticky jako ta opravdu oficiální, a má (konkrétně v tomto případě) možnost stáhnout hledanou aplikaci. Místo ní si ale pořídí instalační program hostovaný na Discordu, dodává zdroj výše, v němž je obsažen virus AMOS.

Zdroje

Autorský komentář Lukáše Altmana

Líbí se vám tento článek? Tak pojďte diskutovat.

Diskuze 0

Copyright © 2016-2024 abcMedia Network, s.r.o.
Obsah je chráněn autorským právem. Jakékoli užití včetně publikování nebo jiného šíření obsahu je bez písemného souhlasu zakázáno.