Getty Images Se ha detectado malware para Mac que roba contraseñas, billeteras de criptomonedas y otros datos confidenciales circulando a través de anuncios de Google, lo que lo convierte en al menos la segunda vez en varios meses que la plataforma publicitaria ampliamente utilizada ha sido abusada para infectar a los internautas. Los últimos anuncios, encontrados por la firma de seguridad Malwarebytes el lunes, promocionan versiones para Mac de Arc, un navegador poco convencional que se volvió disponible para la plataforma macOS en julio pasado. El anuncio promete a los usuarios una experiencia «más tranquila y personal» que incluye menos desorden y distracciones, un mensaje de marketing que imita el comunicado por The Browser Company, la startup creadora de Arc. Cuando está verificado, no está verificado Según Malwarebytes, hacer clic en los anuncios redirigía a los internautas a arc-download[.]com, una página del navegador Arc completamente falsa que parece casi idéntica a la real. Malwarebytes Si investigamos más a fondo el anuncio, veremos que fue comprado por una entidad llamada Coles & Co, una identidad de anunciante que Google afirma haber verificado. Malwarebytes Los visitantes que hacen clic en el botón de descarga en arc-download[.]com descargará un archivo de instalación .dmg que se parece al original, con una excepción: instrucciones para ejecutar el archivo haciendo clic derecho y eligiendo abrir, en lugar del método más sencillo de simplemente hacer doble clic en el archivo. La razón de esto es eludir un mecanismo de seguridad de macOS que impide que se instalen aplicaciones a menos que estén firmadas digitalmente por un desarrollador que Apple haya examinado. Malwarebytes Un análisis del código del malware muestra que una vez instalado, el ladrón envía datos a la dirección IP 79.137.192[.]4. La dirección aloja el panel de control de Poseidon, el nombre de un ladrón que se vende activamente en los mercados criminales. El panel permite a los clientes acceder a cuentas en las que se puede acceder a los datos recopilados. Malwarebytes “Hay una escena activa de desarrollo de malware para Mac centrada en los ladrones”, escribió Jérôme Segura, analista principal de inteligencia de malware en Malwarebytes. “Como podemos ver en esta publicación, hay muchos factores que contribuyen a una empresa criminal de este tipo. El proveedor debe convencer a los clientes potenciales de que su producto tiene muchas funciones y es poco detectado por el software antivirus”. Poseidon se anuncia como un ladrón de macOS de servicio completo con capacidades que incluyen «capturador de archivos, extractor de billeteras de criptomonedas, ladrón de contraseñas de administradores como Bitwarden, KeePassXC y recopilador de datos del navegador». Las publicaciones en foros sobre delitos publicadas por el creador del ladrón lo anuncian como un competidor de Atomic Stealer, un ladrón similar para macOS. Segura dijo que ambas aplicaciones comparten gran parte del mismo código fuente subyacente. El autor de la publicación, Rodrigo4, agregó una nueva función para saquear configuraciones de VPN, pero actualmente no está funcional, probablemente porque todavía está en desarrollo. La publicación del foro apareció el domingo y Malwarebytes encontró los anuncios maliciosos un día después. El descubrimiento se produce un mes después de que Malwarebytes identificara un lote separado de anuncios de Google que promocionaban una versión falsa de Arc para Windows. El instalador de esa campaña instaló un presunto ladrón de información para esa plataforma. Malwarebytes Como la mayoría de las otras grandes redes publicitarias, Google Ads publica regularmente contenido malicioso que no se elimina hasta que terceros notifiquen a la empresa. Google Ads no se hace responsable de ningún daño que pueda resultar de estos descuidos. La compañía dijo en un correo electrónico que elimina los anuncios maliciosos una vez que los detecta y suspende al anunciante, y así lo ha hecho en este caso. Las personas que quieran instalar software anunciado en línea deben buscar el sitio de descarga oficial en lugar de confiar en el sitio vinculado en el anuncio. También deben tener cuidado con las instrucciones que indican a los usuarios de Mac que instalen aplicaciones mediante el método de clic derecho mencionado anteriormente. La publicación de Malwarebytes proporciona indicadores de vulnerabilidad que las personas pueden usar para determinar si han sido atacadas.