Napad počinje jednostavnom Google pretragom. Prema navodima istraživačkog tima kompanije MacPaw, hakeri su preuzeli kontrolu nad legitimnim, verifikovanim Google Ads nalozima, uključujući nalog kanadske dobrotvorne organizacije Earth Rangers i kolumbijskog prodavca satova TSQ S.A. Zbog reputacije tih naloga, zlonamjerni oglasi prošli su Googleove bezbjednosne provjere.
Korisnici koji pretražuju tehničke termine poput „online DNS resolver“, „Homebrew“ ili „macOS CLI disk space analyzer“ dobijaju sponzorisane rezultate na vrhu stranice. Ti linkovi vode ka jednom od dva scenarija.
Prvi uključuje javno dostupnu stranicu na zvaničnom Claude AI sajtu pod nazivom „macOS Secure Command Execution“. Istraživači navode da je lažni vodič pregledan više od 15.600 puta. Drugi vodi ka članku na Mediumu koji imitira zvaničnu Apple podršku.
U oba slučaja korisnicima se prikazuje linija koda uz objašnjenje da će riješiti određeni problem ili instalirati potreban alat. Od njih se traži da komandu kopiraju i nalijepe u Terminal. Time započinje infekcija.
Nakon izvršavanja komande preuzima se infostealer MacSync. Ovaj malver cilja macOS Keychain, gdje se čuvaju sistemske lozinke, podaci sačuvani u pregledačima, kao i privatni ključevi kripto-novčanika. Ukradeni podaci se pakuju u arhivu pod nazivom osalogging.zip i šalju na server pod kontrolom napadača.
Prema navodima Moonlock Laba, oba varijeteta kampanje komuniciraju sa istim komandno-kontrolnim (C2) serverom, što ukazuje na to da iza napada stoji ista grupa. MacSync se opisuje kao unaprijeđena verzija starijeg malvera Mac.c.
Slične kampanje ranije su koristile i druge AI platforme, uključujući ChatGPT i Grok, za širenje malvera pod maskom tehničke pomoći.
Istraživači upozoravaju da korisnici nikada ne bi trebalo da pokreću Terminal komande čije značenje ne razumiju u potpunosti. Uvijek je bezbjednije preuzimati softver direktno sa zvaničnih sajtova, umjesto preko sponzorisanih linkova u pretrazi, piše Informacija.
Saznajte sve o najvažnijim vijestima i događajima, pridružite se našoj Viber zajednici ili čitajte na Google News.