Thought Leadership
Bitdefender warnt vor einer laufenden Malvertising-Kampagne, die Mac-Nutzer mit gefälschten Download-Angeboten für beliebte Software in die Falle lockt und dabei gleich mehrere vertrauenswürdige Infrastrukturen missbraucht.
Wer bei Google nach Microsoft Office, LibreOffice, Notepad++, 7-Zip, VLC oder Final Cut Pro sucht, könnte derzeit auf eine gesponserte Anzeige stoßen, die nicht zum offiziellen Entwickler führt. Stattdessen landen Nutzer auf einer Evernote-Seite, die einen Download-Link präsentiert und einen fatalen Fallstrick enthält. Wie die Sicherheitsforscher von Bitdefender Labs berichten, werden die Opfer dort aufgefordert, einen Befehl per Copy-and-Paste in das macOS-Terminal einzufügen. Führen sie diesen aus, installieren sie damit einen Infostealer auf ihrem System.
MacSync Stealer im Einsatz
Die bei der Kampagne eingesetzte Schadsoftware trägt die Bezeichnung MacSync Stealer und liegt aktuell in Version 1.1.2 vor. Das Tool ist darauf ausgelegt, möglichst viele sensible Daten vom kompromittierten System abzuziehen. Gespeicherte Passwörter werden über gefälschte macOS-Systemdialoge erschlichen, Browser-Cookies, Login-Datenbanken sowie installierte Erweiterungen werden exfiltriert. Darüber hinaus hat der Stealer es gezielt auf Krypto-Wallets, Passwort-Manager, Telegram-Daten sowie Inhalte der macOS-Notizen-App abgesehen. Die eigentlichen Ziele der Angreifer sind Kontenübernahmen und Finanzdiebstahl.
Kompromittierte Werbekonten aus 35 Ländern
Für die Verbreitung der Anzeigen missbrauchen die Täter fremde Google-Ads-Konten. Bitdefender hat Accounts aus mindestens 35 Ländern identifiziert, darunter Deutschland, die USA, Großbritannien, Kanada, Polen, Rumänien, Japan und die Vereinigten Arabischen Emirate. Viele der gekaperten Konten hatten zuvor völlig legitime Unternehmen beworben, etwa aus der Wohlfahrtspflege, dem Rechtsbereich, dem Handel oder der Reisebranche. Insgesamt wurden rund 200 Google-Anzeigen im Rahmen der Kampagne identifiziert.
Der einheitliche Aufbau der präparierten Evernote-Notizen und deren Streuung über einen zentralen Account legen nahe, dass die Kampagne von einer einzelnen Person oder Gruppe zentral koordiniert wird.
Vorsicht beim Software-Download
Grundsätzlich gilt: Wer Software herunterladen möchte, sollte ausschließlich die offizielle Website des jeweiligen Entwicklers aufrufen und gesponserte Suchergebnisse meiden. Kein seriöser Softwareanbieter fordert seine Nutzer auf, Terminal-Befehle manuell auszuführen, denn legitime macOS-Anwendungen werden als signierte Installationsdateien ausgeliefert. Verdächtige Links lassen sich mit entsprechendem Link Checker überprüfen.
(lb/Bitdefender)
