威胁行为者利用谷歌搜索 “Mac 清理工具” 相关广告，诱导用户访问恶意网站

网络犯罪分子借助谷歌搜索广告实施诱骗，让 Mac 用户访问声称可清理设备的虚假网站。

当用户在谷歌中搜索“mac cleaner”或“clear cache macos”等常见关键词时，此类推广广告就会出现，乍一看极具迷惑性。

广告落地页模仿苹果官方网站设计，不仅布局相似，还配有一致的导航菜单。但在专业外观的伪装下，潜藏着针对不知情 Mac 用户的恶意攻击阴谋。

攻击者已在 Medium 及谷歌自有服务等平台发布虚假帖子，传播恶意操作指令，黑客可通过这些指令完全控制受害者设备。

整个攻击活动利用了一种简单却高效的策略：用户普遍信任谷歌的广告审核机制，并且对苹果的设计语言感到熟悉和安心。

用户点击广告后会被重定向至相关页面，页面中充斥着看似专业的操作指引，内容涉及释放磁盘空间、安装系统更新等。

MacKeeper 分析师确认，威胁行为者是通过劫持的谷歌广告账户开展此次攻击活动，且疑似已入侵 Nathaniel Josue Rodriguez 等个人及 Aloha Shirt Shop 等企业的合规广告账户。

恶意软件感染流程
该攻击的核心是一条看似简单却极具破坏力的指令，且该指令被伪装成合规的系统维护操作。

当用户按照页面指示，将提供的命令复制并粘贴到Mac的“终端”应用程序中执行时，便会在无意间触发一次远程代码执行攻击。

该指令链以 “清理 macOS 存储空间”“正在安装组件，请等待” 等看似无害的语句开头，这些均为社会工程学手段，目的是让用户确信自己在执行常规维护操作。

在这些友好提示的背后，隐藏着一段经过Base64编码的文本，其中包含了真实的攻击代码。

系统会通过 base64 命令解码该隐藏文本，解码后文本将转化为实际的 shell 命令，在用户毫不知情且未授权的情况下，从远程服务器下载恶意脚本。

脚本下载后，便会以当前用户的完整权限运行，使得攻击者能够执行多种恶意操作，包括：安装恶意软件、窃取SSH密钥、创建系统后门、进行加密货币挖矿、窃取个人文件，乃至修改关键系统设置。

攻击者还采用了多种混淆技术来隐藏命令实际连接的目的地，从而增加了安全检测的难度。这种伪装下载并自动执行的模式，在专业级的恶意软件活动和供应链攻击中屡见不鲜。

MacKeeper的研究人员已成功识别出这些危险广告并向谷歌报告。目前，谷歌已采取行动，将这些恶意广告从搜索结果中移除。