Maliciozni Google oglasi šire MacSync: lažni Homebrew inficira macOS uređaje

Vesti, 05.05.2026, 09:30 AM

Klik na prvi rezultat u Google pretrazi za popularni macOS alat Homebrew može dovesti do instalacije zlonamernog umesto legitimnog softvera, upozoravaju istraživači iz SANS Internet Storm Center (ISC).

Napadači koriste malvertajzing kampanje u Google pretrazi, kupujući sponzorisane rezultate koji se prikazuju iznad originalnih rezultata pretrage. Lažni sajt verno imitira zvanični sajt za Homebrew, ali umesto instalacije alata preuzima infostealer malver poznat kao MacSync Stealer.

Veb-sajt, kao i originalni, zahteva lepljenje komande u terminal da bi se instalirao Homebrew. Ako žrtva kopira, nalepi i pokrene program - ista procedura kao i instaliranje Brew-a - biće joj zatraženo da unese lozinku i odobri dodatni pristup terminalu, što se može očekivati prilikom instaliranja softvera.

Glavna zamka nalazi se u instalacionoj komandi. Iako izgleda identično originalu, ona zapravo pokreće skriveni, kodirani skript koji instalira malver. Nakon pokretanja, korisnik dobija lažnu grešku, dok se u pozadini odvija krađa podataka.

MacSync prikuplja fajlove, podatke iz pregledača, kredencijale i informacije iz aplikacija poput Telegrama i Notes-a, kao i podatke iz kripto novčanika. Ukradeni podaci se privremeno čuvaju u /tmp/osalogging.zip i zatim šalju napadačima na udaljene servere.

Poseban problem predstavlja činjenica da se lažni sajt često hostuje na platformama poput Google Sites, što dodatno povećava njegovu verodostojnost i otežava detekciju.

Istraživači upozoravaju da je korisnicima gotovo nemoguće da vizuelno razlikuju legitimnu i lažnu verziju sajta. Kampanje su u porastu, a napadači stalno menjaju infrastrukturu kako bi izbegli blokade.

Korisnicima se savetuje da izbegavaju sponzorisane rezultate u pretrazi, koriste blokatore reklama i nikada ne pokreću terminal komande koje ne razumeju.