Bitdefender alerta sobre una campaña de publicidad maliciosa en Google que afecta a usuarios de Mac y que, según la compañía, continúa activa. La investigación, publicada por su equipo de análisis, describe cómo los atacantes están utilizando cuentas legítimas de Google Ads previamente comprometidas para difundir una nueva variante del malware MacSync Stealer.
La campaña se apoya en la infraestructura publicitaria de Google y en múltiples cuentas de anunciantes pirateadas para insertar anuncios fraudulentos entre los primeros resultados patrocinados del buscador. Estos anuncios suplantan herramientas populares para macOS como 7-Zip, Notepad++, LibreOffice, Microsoft Office, OBS Studio o Final Cut Pro. Cuando el usuario hace clic, es redirigido a páginas compartidas de Evernote donde se le incita a ejecutar comandos maliciosos en la Terminal.
Según detalla la investigación , al menos dos cuentas de Google Ads —vinculadas anteriormente a un bufete de abogados y a una organización benéfica en Estados Unidos— estarían distribuyendo activamente este tipo de anuncios. En total, se han identificado al menos 35 cuentas de anunciantes comprometidas en distintos países, entre ellos Estados Unidos, Canadá, Italia, Polonia, Brasil, India, Arabia Saudí, Japón, China, Rumanía, Malta, Eslovenia, Alemania, Reino Unido y Emiratos Árabes Unidos.
En estas cuentas se habrían detectado más de 200 anuncios maliciosos que suplantan software legítimo para macOS. La carga útil corresponde a una versión reciente de MacSync Stealer (v1.1.2_release, identificada como “symbiot”), un malware diseñado para robar credenciales, sesiones de navegador y datos financieros. Entre sus objetivos figuran monederos de criptomonedas, gestores de contraseñas, información almacenada en navegadores y cuentas de Telegram.
Los analistas señalan que los patrones de infraestructura observados muestran similitudes con campañas anteriores de malvertising asociadas a ClickFix en Meta, lo que sugiere posibles conexiones operativas.
Desde la compañía recuerdan la importancia de extremar las precauciones al descargar software, incluso cuando los enlaces aparecen como resultados patrocinados, y recomiendan verificar siempre la legitimidad de las fuentes antes de ejecutar cualquier comando en el sistema.
