O campanie de atacuri informatice vizează utilizatorii de macOS prin reclame Google Ads care redirecționează către site-uri false ce imită platforme populare precum Homebrew sau TradingView.

Metoda, denumită „ClickFix”, afișează adrese legitime în reclame (ex. brew.sh), dar redirecționează către domenii falsificate (brewe[.]sh), unde utilizatorii sunt îndemnați să ruleze comenzi în Terminal pentru „actualizări” sau „verificări de securitate”.

Aceste comenzi descarcă fișierul „install.sh”, care ocolește protecțiile macOS precum Gatekeeper, detectează mediile virtuale și instalează malware-ul AMOS (Atomic macOS Stealer) sau Odyssey Stealer. Odată activ, codul colectează date din Keychain, cookie-uri, portofele crypto, informații hardware și fișiere personale, transmițându-le către servere externe de comandă și control.

Atacurile vizează în special dezvoltatorii, însă și utilizatorii pot fi afectați, întrucât site-urile clonate sunt aproape identice cu cele originale și au certificate SSL valide. Specialiștii recomandă descărcarea aplicațiilor doar de pe site-urile oficiale, evitarea linkurilor sponsorizate și menținerea actualizată a sistemului și soluțiilor antivirus.

