Мошенники используют рекламу Google для взлома компьютеров Mac через поддельные «чистильщики»

Морда 29 января

Мошенники используют рекламу Google для взлома компьютеров Mac через поддельные «чистильщики»

Исследователи компании MacKeeper обнаружили новую кампанию по распространению вредоносного ПО, нацеленную на пользователей macOS. Злоумышленники используют рекламную сеть Google Ads для продвижения фальшивых утилит по очистке системы, которые на самом деле предоставляют хакерам полный контроль над устройством.

Инцидент был зафиксирован 26 января 2026 года. Пользователи, искавшие в Google средства для очистки диска, видели спонсируемые объявления в топе выдачи. Эти ссылки вели на мошеннические ресурсы, дизайн которых копировал официальный сайт поддержки Apple.

Для повышения доверия злоумышленники размещали свои лендинги на легитимных доменах Google, таких как docs.google.com и business.google.com. На странице пользователю предлагалась пошаговая инструкция якобы для освобождения места на накопителе.

При попадании на такую страницу, перед пользователями предстает руководство, похожее на пошаговую инструкцию по освобождению места на диске Mac. Внешне страница выглядит аналогично официальной документации Apple, однако навигационные элементы не работают должным образом.

Ключевой ловушкой становится предложение скопировать и вставить команду в терминал macOS. Согласно исследованию MacKeeper, эта команда закодирована с использованием формата Base64, скрывающего её истинную природу и превращающую её в непонятный набор символов.

После исполнения, данная команда расшифровывает строку Base64 и немедленно загружает скрипт с удаленного сервера, выполняя его с полными правами текущего пользователя. Во время выполнения демонстрируются фальшивые уведомления вроде "Освобождение пространства macOS", маскируя реальные намерения злоумышленников.

По словам исследователей, такая атака позволяет атакующим дистанционно управлять зараженным компьютером, красть конфиденциальные файлы, извлекать ключи SSH, устанавливать дополнительное вредоносное ПО или эксплуатировать вычислительные мощности компьютера для майнинга криптовалют.

Расследование показало, что объявления распространялись через верифицированные рекламные аккаунты Google, которые, по всей видимости, были взломаны. В частности, вредоносная активность была замечена в профилях, ранее принадлежавших реальным пользователям и компаниям (например, магазину Aloha Shirt Shop). Использование учетных записей с историей и репутацией позволило мошенникам обойти автоматические проверки безопасности платформы.