Lažni Google oglasi za 7-Zip, LibreOffice i Final Cut Pro šire MacSync malver

Vesti, 20.02.2026, 11:30 AM

Korisnici Mac računara koji traže popularni softver poput 7-Zip, Notepad++, LibreOffice ili Final Cut Pro mogu se naći usred aktivne kampanje lažnih oglasa objavljenih sa kompromitovanih Google Ads naloga.

Istraživač Bitdefender Labs-a Jonut Baltariu otkrio je da napadači koriste hakovane Google Ads naloge kako bi plasirali zlonamerne oglase za legitimne softverske proizvode. Oglasi se pojavljuju u rezultatima pretrage i preusmeravaju korisnike na deljene Evernote stranice koje sadrže Terminal komandu.

Identifikovano je najmanje 35 kompromitovanih Google Ads naloga iz različitih zemalja, uključujući SAD, Kanadu, Italiju, Poljsku, Brazil, Indiju, Saudijsku Arabiju, Japan, Kinu, Rumuniju, Maltu, Sloveniju, Nemačku, Veliku Britaniju i UAE.

Reč je o legitimnim poslovnim nalozima koji su ranije oglašavali humanitarne organizacije, advokatske kancelarije, turističke agencije, hotele i druge komercijalne usluge. Nakon kompromitovanja, koriste se za distribuciju malvera.

Ovi oteti nalozi reklamiraju širok spektar alata, među kojima su 7-Zip, Notepad++, The Unarchiver, Homebrew, LibreOffice, Microsoft Office, OBS Studio, Final Cut Pro, PopClip, AppCleaner, Rectangle i PearCleaner.

Oglasi su precizno podešeni da se aktiviraju na tačne upite za preuzimanje ovih proizvoda, čime napadači ciljaju korisnike u trenutku kada traže legitimne instalacione fajlove.

Za razliku od klasičnih kampanja koje vode ka lažnim sajtovima za preuzimanje, ova operacija koristi deljene Evernote beleške. Sve beleške hostovane su pod istim nalogom i imaju gotovo identičan sadržaj: uputstvo za otvaranje Terminala, Base64-kodiranu komandu, instrukcije za kopiranje i izvršavanje, i opis proizvoda kako bi stranica delovala legitimno.

Stranica je dizajnirana kao tutorijal za instalaciju putem Terminala. Korisnik se navodi da ručno izvrši kodiranu komandu koja zapravo dekodira i pokreće maliciozni payload.

Ovakav pristup zaobilazi očekivanja vezana za preuzimanje softvera i oslanja se na socijalni inženjering, a ne na tehničku ranjivost sistema.

Malver koji se instalira na ovaj način identifikovan je kao MacSync v1.1.2_release, unapređena varijanta MacSync Stealer-a (v1.0.8), koji je deo šireg ClickFix ekosistema.

MacSync je fokusiran na kompromitaciju naloga i finansijsku krađu. Nakon izvršavanja Terminal komande, malver uspostavlja perzistenciju, prikuplja sistemske informacije i održava daljinski pristup.

Malver cilja kripto novčanike i ekstenzije pregledača povezane sa kriptovalutama, menadžere lozinki, kolačiće pregledača i baze podataka za prijavu, podatke iz Telegrama, sadržaj macOS Notes-a, dokumente i fajlove sa sistema.

Malver takođe prikazuje lažni zahtev za lozinku za macOS kako bi prikupio administratorske kredencijale.

Analiza pokazuje da nova verzija koristi istu API strukturu kao prethodno dokumentovana ClickFix kampanja, koja je putem Meta oglasa distribuirala lažne instalere za TradingView i Sora aplikacije.

Ponovna upotreba infrastrukturnih elemenata i API ključeva ukazuje da ove operacije verovatno nisu izolovani incidenti, već deo koordinisanog ekosistema koji paralelno zloupotrebljava Google i Meta oglasne mreže, ciljajući Windows i macOS korisnike.

Korisnici Mac računara često polaze od pretpostavke da su “bezbedniji po difoltu”. Ovakve kampanje pokazuju da su primarna meta zapravo korisnici.

Zato nikada ne izvršavajte Terminal komande preuzete sa veb sajtova. Izbegavajte sponzorisane rezultate pri preuzimanju softvera i proveravajte URL pre klika, savetuju stručnjaci.