Киберкампания по распространению вредоносной программы для macOS через сервис контекстной рекламы Google AdWords обнаружена специалистами Cylance.
В ходе кампании хакеры опубликовали в верхних позициях AdWords рекламное объявление, которое отображается при вводе словосочетания Google Chrome в строку поиска. Ссылка в объявлении якобы должна была вести на сайт www.google[.]com/chrome, но в действительности происходила переадресация пользователей macOS на поддельную веб-страницу googlechromelive.com, на которой предлагалось бесплатно скачать браузер Google Chrome. Но на самом деле осуществлялась загрузка вредоносного файла FLVPlayer.dmg на целевой компьютер.
Эксперты подчеркивают, что в ходе каждой загрузки хэш вредоносной программы меняется, что делает сложным его обнаружение. В результате происходит переадресация пользователей Windows на веб-ресурс admin.myfilessoft.com. При переходе на сайт на экране появляется уведомление об ошибке.
Вредоносная программа OSX/InstallMiez (OSX/InstallCore) имитирует активацию файла FLV Player, но на самом деле осуществляет установку псевдоантивируса Macpurifier, информирующего пользователя о присутствии нежелательного программного обеспечения на системе и необходимости загрузки дополнительных файлов.
Специалисты Cylance 25 октября сообщили в Google о проблеме, и вредоносная программа была удалена из AdWords.