Onderzoekers hebben een nieuwe aanvalscampagne ontdekt waarbij Mac-gebruikers via malafide "oplossingen" voor het verhelpen van printproblemen, het legen van de dns cache of het installeren van iTerm2 besmet raken met malware. Deze malware steelt allerlei inloggegevens en crypto-gerelateerde informatie en bestanden van het systeem. Dat laat securitybedrijf CrowdStrike in een analyse weten.

De websites met de malafide tips worden via advertenties in de zoekmachine van Google getoond, bijvoorbeeld wanneer gebruikers op veelvoorkomende problemen zoeken. Wanneer een gebruiker op de advertentie klikt wordt die naar de website doorgestuurd en krijgt vervolgens een aantal instructies te zien voor het oplossen van het probleem. De laatste instructie is het kopiëren van een commando dat in de terminal van macOS moet worden uitgevoerd. Het installatiecommando maakt het mogelijk om de Gatekeeper-beveiliging van macOS te omzeilen, aldus de onderzoekers.

Wanneer de gebruiker het commando in de terminal uitvoert wordt de Shamos-malware geïnstalleerd, een variant van de Atomic macOS Stealer. Beide malware-exemplaren zijn infostealers, die zoals gezegd wachtwoorden, gebruikersnamen, cookies en tokens van besmette systemen stelen, alsmede allerlei cryptowallet-gerelateerde informatie en bestanden. De onderzoekers merken op dat de aanvallers allerlei soorten onderwerpen voor de malafide advertenties gebruiken en de combinatie van advertenties en installatiecommando's waarschijnlijk zullen blijven toepassen.