9to5Mac Security Bite es traído exclusivamente a usted por Mosyle, la única plataforma unificada de Apple. Hacer que los dispositivos Apple estén listos para trabajar y Enterprise-Safe es todo lo que hacemos. Nuestro enfoque integrado único para la gestión y la seguridad combina soluciones de seguridad específicas de Apple de vanguardia para el endurecimiento y cumplimiento totalmente automatizado, EDR de próxima generación, confianza cero con IA y administración de privilegios exclusivos con el MDM de Apple más poderoso y moderno del mercado. El resultado es una plataforma de Apple totalmente automatizada que actualmente confían más de 45,000 organizaciones para hacer que millones de dispositivos Apple estén listos para trabajar sin esfuerzo y a un costo asequible. Solicite su prueba extendida hoy y comprende por qué Mosyle es todo lo que necesitas para trabajar con Apple.
El fin de semana pasado, Google fue encontrado nuevamente sirviendo un sitio web malicioso en la parte superior de la búsqueda como resultado patrocinado. Esta no es la primera vez que Google Ads aprobó sitios web con malware integrado; De hecho, la primera instancia de esto se remonta a 2007 cuando la plataforma (entonces llamada Google Adwords) promocionaba el software antivirus falso conocido ampliamente como «sharware» en ese momento. Pero, ¿cómo, en 2025, puede Google, con sus bolsillos profundos y más profundos, aún permitir que esto suceda? ¿Cómo lo están superando a los hackers?
Esta semana, quiero discutir brevemente esta nueva campaña y cómo probablemente pudieron lograrlo.
Security Bite es una columna semanal centrada en la seguridad en saberactual. Cada semana, comparto información sobre la privacidad de los datos, discuto las últimas vulnerabilidades y arrojo luz sobre las amenazas emergentes dentro del vasto ecosistema de Apple de más de 2 mil millones de dispositivos activos.
Los anuncios falsos de cerveza casera están distribuyendo malware a los usuarios de Mac
HomeBrew es un administrador de paquetes de código abierto ampliamente utilizado para MacOS y Linux que permite a los usuarios instalar, actualizar y administrar software a través de la línea de comandos.
En una publicación de X el sábado la semana pasada, Ryan Chenkie advirtió a otros usuarios en la plataforma que Google estaba sirviendo un anuncio para un clon malicioso de la popular herramienta de desarrollador que contiene malware dirigido a máquinas Mac y Linux.
La mayoría de las personas pueden distinguir un sitio falso por su URL. Los piratas informáticos usarán un «0» en lugar de «O», un «I» capital en lugar de una «L» en minúsculas, etc. Pero en este caso, Chenkie descubrió que el clon falso mostraba la URL real de la cebada casera («Brew.Sh») en Google Search, dando prácticamente cero pistas que no es el sitio real. Sin embargo, cuando se hace clic, los piratas informáticos redirigen a las posibles víctimas al sitio de clonos maliciosos («Brewe.sh»).
En el sitio malicioso, los visitantes recibieron instrucciones de instalar Homebrew ejecutando un comando en su terminal, un proceso que refleja el proceso de instalación legítimo para la cerveza casera real. Pero sin que ellos lo supieran, ejecutar este comando inicia la descarga y la ejecución del malware en su máquina Mac o Linux.
El malware utilizado en esta campaña se llama AMOS Stealer, también conocido como ‘Atomic’. Es un infopiente diseñado explícitamente para macOS, disponible para los ciberdelincuentes como un servicio de suscripción que cuesta $ 1,000 por mes. Una vez infectado, comenzará a usar scripts para cosechar la mayor cantidad de datos de usuarios como sea posible. Esto generalmente incluye contraseñas de llavero iCloud, información de tarjeta de crédito, archivos, claves de billetera criptográfica almacenadas en el navegador y más. Después de lo cual Amos usará su comando curl para transmitir en silencio los datos robados a los atacantes.
El líder del proyecto de Homebrew, Mike McQuaid, también publicó en X para reconocer el problema, pero enfatizó la capacidad limitada del proyecto para evitar mayores ocurrencias. McQuaid dijo que el sitio de clonos ha sido derribado, pero criticó a Google al mismo tiempo por su proceso de revisión insuficiente, afirmando: «Hay poco que podamos hacer sobre esto realmente; sigue sucediendo una y otra vez, y a Google parece que le guste tomar dinero de los estafadores. Por favor, indique esto y, con suerte, alguien en Google arregle esto para siempre».
Si eres como yo, estás desconcertado por cómo Google todavía permite que esto suceda. Especialmente después del año pasado, cuando un clon falso de Google Authenticator, una herramienta de autenticación multifactor bien conocida y confiable, fue aprobado y mostrado como un resultado patrocinado que empuja el malware a víctimas desprevenidas.
Técnicas probablemente utilizadas
Al igual que el proceso de revisión de la tienda de aplicaciones de Apple, Google Ads no es inmune a los malos actores que intentan engañar a ser «aprobados». Sin embargo, a diferencia de la tienda de aplicaciones, Google Ads se basa en gran medida en los sistemas automatizados para revisar, lo que permite a los piratas informáticos usar técnicas de evasión inteligentes.
Un método común implica registrar nombres de dominio que se parecen estrechamente a los legítimos, como «Brewe.sh» en la reciente campaña casera. A partir de aquí, pueden realizar un «cebo y cambio» inicialmente enviando contenido inofensivo para su aprobación y luego reemplazándolo con una redirección a un sitio malicioso una vez que se aprueban sus anuncios. ¿Cómo no es marcado esto por Google? Los piratas informáticos pueden salirse con la suya secuestrando las cuentas de los anuncios de Google con un historial limpio y una buena reputación. Estos a menudo pueden salirse con más. La URL legítima aún se mostraría en los resultados de búsqueda hasta que Google se arrastra nuevamente.
Por supuesto, no puedo confirmar que así fue como pudieron hacerlo, pero si la historia nos dice algo …
Afortunadamente, estos ataques suelen ser de corta duración debido al proceso de informe de Google ADS. Pero incluso unas pocas horas de exposición podrían resultar en cientos, si no miles, de infecciones. Después de todo, la búsqueda de Google es utilizada por cientos de millones de personas diariamente.
Confía, pero verifique. Siempre. ✌️
Más en seguridad de Apple
- Una gran violación de datos que involucra a Gravy Analytics ha parecido exponer datos de ubicación precisos para millones de usuarios de aplicaciones populares de teléfonos inteligentes como Candy Crush, Tinder, MyFitnessPal y más. Esto es lo que debes saber sobre la violación de desarrollo.
- El estado de Washington está demandando a T-Mobile por una violación de seguridad de 2021 que expuso los datos personales de unos 79 millones de personas, incluidos los residentes de 2M de Washington. Los datos incluyeron números de seguro social, números de teléfono, direcciones físicas, información de la licencia de conducir, más
- Nuevo informe de Check Point Research detalla cómo una nueva variante del infame malware de robador de banshee de los ciberdelincuentes de habla rusa toma una página de las propias prácticas de seguridad de Apple para evadir la detección
- La vulnerabilidad de seguridad de Subaru permitió que millones de automóviles fueran rastreados, desbloqueados y comenzaron de forma remota. Un año completo de historial de ubicación estaba disponible y era preciso dentro de los cinco metros (no necesariamente relacionados con la manzana, sino solo una locura)
¡Gracias por leer! Security Bite volverá el próximo viernes.
FARIN ORGUR: LinkedIn, hilos,
BlueSky
