Um novo golpe mirando usuários de macOS foi identificado em anúncios patrocinados do Google. Criminosos estão distribuindo malware disfarçado de ferramenta de otimização do sistema, usando páginas falsas que copiam com alto nível de fidelidade o visual do site oficial da Apple.
De acordo com pesquisadores do MacKeeper, o esquema explora o Google Ads para colocar o site fraudulento no topo dos resultados de busca para termos como “Mac cleaner”. Com isso, aumenta a probabilidade de cliques de usuários que buscam soluções legítimas para liberar espaço ou melhorar o desempenho do computador.
Ao acessar a página falsa, o visitante não encontra um aplicativo para download. Em vez disso, recebe instruções para executar uma sequência de comandos diretamente no Terminal do macOS, com a promessa de limpar o armazenamento do sistema. O site utiliza logotipos, tipografia e outros elementos visuais semelhantes aos da Apple, o que ajuda a criar uma falsa sensação de legitimidade.
Comandos no Terminal instalam malware
Na prática, os comandos indicados são maliciosos. Quando executados, eles decodificam uma string em Base64 e baixam um script hospedado em um servidor remoto. Esse script é executado com as permissões do usuário e exibe mensagens enganosas, como “Limpando o armazenamento do macOS”, para simular uma atividade legítima.
Segundo os pesquisadores, o malware concede acesso remoto ao computador comprometido. A partir daí, os atacantes podem roubar arquivos pessoais, coletar chaves SSH e instalar outras cargas maliciosas no sistema, ampliando o impacto da infecção.
Como os anúncios eram veiculados via Google Ads, as páginas fraudulentas apareciam em posições de destaque nos resultados de busca. Usuários menos atentos poderiam acreditar que se tratava de uma ferramenta oficial da Apple e seguir as instruções sem levantar suspeitas.
O MacKeeper informou que os anunciantes estavam registrados de forma legítima na plataforma de anúncios do Google. Após a notificação dos pesquisadores, o Google removeu rapidamente o anúncio malicioso da sua rede.
