Les hackers utilisent Google Ads pour distribuer des logiciels malveillants via un faux site Homebrew

Les cybercriminels utilisent des annonces Google pour propager des logiciels malveillants en dirigeant les utilisateurs de Mac et de Linux vers un faux site Web Homebrew avec un voleur d’informations.

Cette campagne de logiciels malveillants est conçue pour voler des informations sensibles, y compris des identifiants, des données de navigateur et des portefeuilles de cryptomonnaie.

Le voleur d’informations en question, AmosStealer (ou Atomic), a été découvert par l’expert en sécurité Ryan Chenkie, qui a tiré la sonnette d’alarme sur X à propos de cette campagne et de ses risques potentiels.

Spécifiquement conçu pour les systèmes macOS, ce voleur d’informations est vendu aux cybercriminels sur une base d’abonnement pour 1 000 $ par mois.

Pour ceux qui ne le savent pas, Homebrew est un système de gestion de paquets de logiciels gratuit et open-source qui simplifie l’installation de logiciels sur les systèmes d’exploitation d’Apple, macOS et Linux.

Cependant, il est récemment devenu un point focal pour les campagnes de malvertising promouvant de fausses pages Google Meet.

Les hackers ont utilisé une annonce Google trompeuse qui affichait l’URL légitime de Homebrew, “brew.sh”, trompant les utilisateurs non méfiants en les incitant à cliquer dessus.

Cela a ensuite redirigé les utilisateurs vers un faux site hébergé à “brewe.sh” qui imitait le vrai. Il a instruit les visiteurs d’installer Homebrew en exécutant une commande dans leur Terminal ou un prompt de shell Linux depuis le faux site Web, qui, une fois exécutée, installait un logiciel malveillant au lieu du logiciel légitime sur l’appareil.

Le chercheur en sécurité JAMESWT a identifié le logiciel malveillant déposé dans ce cas comme Amos, un puissant voleur d’informations capable de cibler plus de 50 extensions de cryptomonnaie, des portefeuilles de bureau et des données de navigateur Web.

Le responsable du projet Homebrew, Mike McQuaid, a reconnu le problème et a exprimé sa frustration face à l’incapacité de Google à prévenir ces escroqueries.

“Cela semble maintenant supprimé. Mais cela continue de se reproduire encore et encore, et Google semble privilégier les revenus des escrocs. Veuillez partager cela largement afin que Google puisse y remédier de manière permanente,” a tweeté McQuaid.

Bien que l’annonce malveillante ait été supprimée, la menace demeure, car les hackers peuvent utiliser d’autres domaines de redirection pour continuer leurs campagnes.

Les utilisateurs de Homebrew sont conseillés de faire preuve de prudence lorsqu’ils cliquent sur des annonces sponsorisées par Google et de vérifier qu’ils visitent les sites Web officiels d’un projet ou d’une entreprise avant de télécharger des logiciels ou d’entrer des informations sensibles.

Pour se protéger des risques potentiels, les utilisateurs devraient ajouter aux favoris les sites Web officiels de projets de confiance comme Homebrew et y accéder directement.

Ils devraient également éviter de cliquer sur des annonces sponsorisées pour des téléchargements de logiciels et vérifier les URL pour s’assurer qu’elles correspondent au site légitime avant de procéder.