Pesquisadores do MacKeeper descreveram uma campanha que abusa da rede de anúncios do Google para promover páginas falsas de “Mac Cleaner”. O objetivo é enganar usuários a executar comandos no Terminal que, quando colados, baixam e executam scripts maliciosos com permissões de usuário.
Vetor e método de fraude
Os anúncios pagos aparecem em buscas por termos comuns (por exemplo, “mac cleaner”, “clear cache macos”) e levam a landing pages que imitam o visual da Apple. As páginas contêm instruções técnicas — apresentadas como manutenção do sistema — que solicitam ao usuário copiar e colar linhas de comando no Terminal.
O coração da técnica é o uso de texto codificado em Base64: quando decodificado no Terminal, o conteúdo se transforma em um comando shell que baixa um script remoto e o executa com as permissões do usuário, possibilitando instalação de backdoors, roubo de chaves SSH, cryptomining e exfiltração de arquivos, conforme detalhado pelos analistas do MacKeeper.
Evidências e investigação
O relatório aponta que os operadores utilizavam contas do Google Ads comprometidas (ou sequestradas) — exemplos de anunciantes listados incluem nomes como Nathaniel Josue Rodriguez e empresas aparentemente legítimas como Aloha Shirt Shop — para veicular os anúncios maliciosos.
Por que essa técnica funciona
- Confiança do usuário em anúncios verificados pelo Google e familiaridade com o design da Apple;
- Sociedade com instruções técnicas que parecem plausíveis para manutenção de sistema, incentivando a ação direta do usuário (copiar/colar);
- Ofuscação por Base64 que oculta a finalidade real do comando até a execução local.
Remediação e recomendações
O MacKeeper informou ter reportado os anúncios ao Google, que tomou medidas para removê‑los das buscas. Com base nas contramedidas descritas pelos pesquisadores, consideramos as seguintes recomendações imediatas:
- Não executar nem colar comandos recebidos de fontes não verificadas; solicitar que times de suporte validem instruções antes de executar;
- Educar usuários avançados sobre riscos de comandos que decodificam texto (ex.: base64 | base64 -d) e instruções que baixam e executam scripts automaticamente;
- Monitorar indicadores de script execution no ponto de endpoint: criação de novos processos de download/execução via curl/wget, escrita em /usr/local/bin ou modificações em chaves SSH;
- Bloquear e inspecionar downloads de domínios identificados em campanhas semelhantes até que sejam validados.
Limites das informações públicas
O relatório técnico citado não fornece uma lista pública exaustiva de domínios maliciosos usados nem números de vítimas. O que está documentado claramente é o padrão de ataque (anúncios legítimos sequestrados, páginas falsas e comando codificado) e a ação do Google para remover os anúncios após notificação.
Implicações operacionais
Para equipes de segurança, essa campanha sublinha dois vetores frequentemente subestimados: a confiança do usuário em ad placements e a eficácia de ataques que dependem apenas de um ato humano (colar e executar um comando). Defesas baseadas em educação, bloqueios de download e políticas que restringem execução de scripts por usuários não privilegiados são medidas práticas para mitigar o risco.
Em suma, a campanha documentada pelo MacKeeper explora comportamento do usuário e falhas operacionais em contas de anunciantes para entregar código malicioso sem necessidade de exploração técnica complexa — um lembrete de que vetores simples continuam eficazes quando alinhados à engenharia social.