Pozor, na co klikáte. Virus pro macOS se tajně dostává do Google reklam
Lukáš Altman
Lukáše psaní naplňovalo už od dětství, že se tím bude živit si uvědomil ještě jako student v roce 2013. V tu dobu už si několika dílčími texty začal přivydělávat. Jeho profesionální kariéra začala o tři roky později, kdy se stal externím redaktorem pro portál Alza.cz. Od té doby spolupracoval s řadou firem různých rozsahů a dokonce založil několik vlastních projektů, včetně Mobify.cz, který časem přešel pod společnost abcMedia Network. Nyní se Lukáš řadí mezi nejvlivnější české redaktory v oblasti elektroniky.
Jedno kliknutí na sponzorovaný odkaz může bez varování otevřít cestu pro vir. Nový typ útoku cílí na majitele Maců a zneužívá důvěru v Google i značku Apple.
Vyhledávač Google je pro většinu lidí první zastávkou, když se chtějí optat na potíže s PC. Toho začali zneužívat útočníci, kteří dostávají závadný obsah přímo do placených reklam. Redakce Mobify zaregistrovala, že je uživatel nenápadně naveden na falešnou podporu Applu a následně sám spustí příkazy, které mohou kompromitovat systém.
Hledání určitých výrazů zobrazí závadné reklamy
Základem problému, s nímž teď technický svět válčí, jsou sponzorované reklamy ve výsledcích vyhledávání Google. Experti upozorňují, že při hledání výrazů jako „čistič Macu“ nebo „zrychlení Macu“ se mohou zobrazit na první pohled normální placené odkazy. Některé z nich dokonce používají rádoby oficiální domény, například služby napojené na Google.
Po kliknutí je uživatel přesměrovaný na podvodný web, který věrně kopíruje vzhled oficiálních stránek podpory Apple. Právě tady přichází klíčový moment. Stránka začne tvrdit, že v systému uživatele se nachází problém, a proto doporučuje „rychlé řešení“, upozornil MacKeepres.
Vlastnoručním vložením příkazu začne problém
Falešná podpora následně uživatele vyzve, aby otevřel na počítači Terminál a vložil konkrétní příkaz. Na obrazovce se může zobrazit neškodně vypadající text, například informace o čištění úložiště nebo kontrole systému. Ve skutečnosti ale spouští příkaz skryté instrukce, které mohou stáhnout nebo aktivovat malware.
Záludnost spočívá v tom, že část příkazu se dynamicky mění. To znamená, že antivirové programy mají problém rozpoznat, co se skutečně děje. Uživatel přitom všechno potvrzuje sám. Systém není prolomený násilím, ale vlastní nepozorností.
Stačí přitom několik příkazů a útočník může získat přístup k systému, datům nebo přihlašovacím údajům. Princip je podobný známým sociálním útokům, kdy jsou uživatelé naváděni k obejití bezpečnostních mechanismů, ale tentokrát vše probíhá mnohem rafinovaněji, varuje AppleInsider.
Jsou do toho zapleteni skuteční inzerenti?
Co jsme zjistili, tak některé reklamy mohly opravdu patřit reálným firmám, jejichž reklamní účty byly napadeny. To zatím nebylo oficiálně potvrzeno, ale dle dostupných informací byly tyto případy nahlášeny Googlu a část problematických reklam už zmizela. To ale neznamená, že se podobná taktika nemůže objevit zas.
Základní pravidlo pro ochranu zní: nikdy nespouštějte příkazy v Terminálu, pokud přesně nevíte, co vlastně dělají. Pokud vám web tvrdí, že je to „oficiální postup Applu“, vždy si informaci ověřte z dalšího zdroje, nejlépe dvou.
Dále je klíčové sledovat adresní řádek prohlížeče. Skutečná podpora Applu se nachází výhradně na doméně začínající support.apple.com. Jakékoli jiné varianty, i když vypadají věrohodně, by měly vzbudit podezření. Také doporučujeme místo obecných dotazů typu „čistič Mac“ hledat spíše recenze a srovnání.
Zdroje
Autorský komentář Lukáše Altmana