Исследователи из компании Cylance предупреждают, что в Google AdWords появилась вредоносная рекламная кампания нацеленная на пользователей macOS. По данным компании, мошенники приобрели в AdWords топовые места по запросу «Google Chrome», и объявление якобы ведет на www.google.com/chrome (см. верхнюю иллюстрацию). На самом деле, реклама отсылает пользователей по адресу googlechromelive.com, где размешается фейковая страница загрузки.
«Затем вредоносная ссылка на скачивание приводит пользователя macOS на сайты ttb.mysofteir.com, servextrx.com и www.bundlesconceptssend.com, где в итоге происходит загрузка вредоносного файла FLVPlayer.dmg», — пишут эксперты.
Хеш малвари меняет с каждой загрузкой, что усложняет отслеживание и обнаружение угрозы. Также исследователи пишут, что пользователи Windows теоретически тоже находятся в опасности, так как в их случае происходит редирект на admin.myfilessoft.com. В настоящий момент сайт отображает ошибку из-за сбоя DNS, однако злоумышленники могут это исправить.
Что до пользователей macOS, файл FLVPlayer.dmg, маскирующийся под FLV Player, на самом деле является млаварью OSX/InstallMiez или OSX/InstallCore. Вредонос загружает на машину scareware Macpurifier, которая сообщает жертве, что компьютер заражен вирусами и вынуждает пользователя скачать и установить дополнительные приложения.
Специалисты Cylance сообщили Google о происходящем еще 25 октября 2016 года, и кампания в AdWord уже была заблокирована. Тем не менее, специалисты рекомендуют всем, кто недавно искал Chrome для Mac, провести сканирование системы на предмет малвари.
