Los hackers utilizan anuncios de Google para distribuir malware a través de un sitio falso de Homebrew

Los cibercriminales están utilizando anuncios de Google para difundir malware dirigiendo a los usuarios de Mac y Linux a un sitio web falso de Homebrew con un ladrón de información.

Esta campaña de malware está diseñada para robar información sensible, incluyendo credenciales, datos del navegador y billeteras de criptomonedas.

El ladrón de información en cuestión, AmosStealer (o Atomic), fue descubierto por el experto en seguridad Ryan Chenkie, quien dio la voz de alarma en X sobre esta campaña y sus riesgos potenciales.

Específicamente diseñado para sistemas macOS, este ladrón de información se vende a cibercriminales en una base de suscripción por $1,000 al mes.

Para aquellos que no lo saben, Homebrew es un sistema de gestión de paquetes de software gratuito y de código abierto que simplifica la instalación de software en los sistemas operativos de Apple, macOS y Linux.

Sin embargo, recientemente se ha convertido en un punto focal para campañas de malvertising que promueven páginas falsas de Google Meet.

Los hackers utilizaron un anuncio engañoso de Google que mostraba la URL legítima de Homebrew, “brew.sh”, engañando a los usuarios desprevenidos para que hicieran clic en él.

Luego redirigió a los usuarios a un sitio falso alojado en “brewe.sh” que imitaba al real. Instruyó a los visitantes a instalar Homebrew ejecutando un comando en su Terminal o en un aviso de shell de Linux desde el sitio web falso, que, al ejecutarse, instaló malware en lugar del software legítimo en el dispositivo.

El investigador de seguridad JAMESWT identificó el malware dejado en este caso como Amos, un potente ladrón de información capaz de atacar más de 50 extensiones de criptomonedas, billeteras de escritorio y datos del navegador web.

El líder del proyecto Homebrew, Mike McQuaid, reconoció el problema y expresó frustración por la incapacidad de Google para prevenir estas estafas.

“Esto parece haber sido eliminado ahora. Pero sigue sucediendo una y otra vez, y Google parece priorizar los ingresos de los estafadores. Por favor, comparte esto ampliamente para que Google pueda abordarlo de forma permanente”, tuiteó McQuaid.

Aunque el anuncio malicioso ha sido eliminado, la amenaza permanece, ya que los hackers pueden usar otros dominios de redirección para continuar sus campañas.

Se aconseja a los usuarios de Homebrew que tengan precaución al hacer clic en anuncios patrocinados por Google y verifiquen que están visitando los sitios web oficiales de un proyecto o empresa antes de descargar software o ingresar información sensible.

Para protegerse de riesgos potenciales, los usuarios deben marcar los sitios web oficiales de proyectos de confianza como Homebrew y acceder a ellos directamente.

También deben evitar hacer clic en anuncios patrocinados para descargas de software y verificar las URL para asegurarse de que coincidan con el sitio legítimo antes de proceder.