Hacker nutzen Google-Anzeigen, um Malware über gefälschte Homebrew-Website zu verbreiten

Cyberkriminelle nutzen Google-Anzeigen, um Malware zu verbreiten, indem sie Mac- und Linux-Nutzer auf eine gefälschte Homebrew-Website mit einem Informationsdiebstahl-Tool leiten.

Diese Malware-Kampagne ist darauf ausgelegt, sensible Informationen zu stehlen, einschließlich Anmeldedaten, Browserdaten und Kryptowährungs-Wallets.

Der betreffende Informationsdieb, AmosStealer (oder Atomic), wurde von dem Sicherheitsexperten Ryan Chenkie entdeckt, der auf X Alarm über diese Kampagne und ihre potenziellen Risiken schlug.

Speziell für macOS-Systeme entwickelt, wird dieser Informationsdieb für 1.000 USD pro Monat auf Abonnementbasis an Cyberkriminelle verkauft.

Für diejenigen, die es nicht wissen: Homebrew ist ein kostenloses und Open-Source-Software-Paketverwaltungssystem, das die Installation von Software auf Apples Betriebssystemen, macOS und Linux, vereinfacht.

In letzter Zeit ist es jedoch zu einem Brennpunkt für Malvertising-Kampagnen geworden, die gefälschte Google Meet-Seiten bewerben.

Hacker verwendeten eine irreführende Google-Anzeige, die die legitime Homebrew-URL „brew.sh“ anzeigte, und täuschten ahnungslose Nutzer, indem sie darauf klickten.

Es leitete die Nutzer dann auf eine gefälschte Seite weiter, die unter „brewe.sh“ gehostet wurde und die echte nachahmte. Die Besucher wurden angewiesen, Homebrew zu installieren, indem sie einen Befehl in ihrem Terminal oder einer Linux-Shell-Eingabeaufforderung von der gefälschten Website aus ausführten, was bei der Ausführung Malware anstelle der legitimen Software auf dem Gerät installierte.

Der Sicherheitsforscher JAMESWT identifizierte die in diesem Fall abgelegte Malware als Amos, einen leistungsstarken Informationsdiebstahl-Tool, das in der Lage ist, über 50 Kryptowährungs-Erweiterungen, Desktop-Wallets und Webbrowserdaten anzugreifen.

Mikes McQuaid, der Projektleiter von Homebrew, erkannte das Problem an und äußerte Frustration über Googles Unfähigkeit, diese Betrügereien zu verhindern.

„Das scheint jetzt entfernt worden zu sein. Aber es passiert immer wieder, und Google scheint Einnahmen von Betrügern zu priorisieren. Bitte teilen Sie dies weitläufig, damit Google es dauerhaft angehen kann“, tweetete McQuaid.

Obwohl die bösartige Anzeige entfernt wurde, bleibt die Bedrohung bestehen, da Hacker andere Weiterleitungsdomains nutzen können, um ihre Kampagnen fortzusetzen.

Homebrew-Nutzer wird geraten, Vorsicht walten zu lassen, wenn sie auf von Google gesponserte Anzeigen klicken, und zu überprüfen, dass sie die offiziellen Websites eines Projekts oder Unternehmens besuchen, bevor sie Software herunterladen oder sensible Informationen eingeben.

Um sich vor potenziellen Risiken zu schützen, sollten Nutzer die offiziellen Websites vertrauenswürdiger Projekte wie Homebrew als Lesezeichen speichern und direkt darauf zugreifen.

Sie sollten auch vermeiden, auf gesponserte Anzeigen für Software-Downloads zu klicken und die URLs doppelt überprüfen, um sicherzustellen, dass sie mit der legitimen Seite übereinstimmen, bevor sie fortfahren.