Gli hacker usano Google Ads per distribuire malware tramite un falso sito Homebrew

I criminali informatici stanno utilizzando annunci Google per diffondere malware indirizzando gli utenti Mac e Linux a un falso sito Web di Homebrew con un infostealer.

Questa campagna malware è progettata per rubare informazioni sensibili, comprese credenziali, dati del browser e portafogli di criptovalute.

L’infostealer in questione, AmosStealer (o Atomic), è stato scoperto dall’esperto di sicurezza Ryan Chenkie, che ha lanciato l’allerta su X riguardo a questa campagna e ai suoi potenziali rischi.

Specificamente progettato per sistemi macOS, questo infostealer è venduto ai criminali informatici su base di abbonamento per 1.000 dollari al mese.

Per chi non lo sapesse, Homebrew è un sistema di gestione dei pacchetti software gratuito e open-source che semplifica l’installazione di software sui sistemi operativi di Apple, macOS e Linux.

Tuttavia, è recentemente diventato un punto focale per campagne di malvertising che promuovono pagine Google Meet false.

Gli hacker hanno utilizzato un ingannevole annuncio Google che mostrava l’URL legittimo di Homebrew, “brew.sh”, ingannando gli utenti ignari a cliccarci sopra.

Successivamente, reindirizzava gli utenti a un sito falso ospitato su “brewe.sh” che imitava quello reale. Istruiva i visitatori a installare Homebrew eseguendo un comando nel loro Terminale o in un prompt della shell Linux dal sito falso, che, una volta eseguito, installava malware invece del software legittimo sul dispositivo.

Il ricercatore di sicurezza JAMESWT ha identificato il malware rilasciato in questo caso come Amos, un potente infostealer capace di colpire oltre 50 estensioni di criptovalute, portafogli desktop e dati del browser web.

Il leader del progetto Homebrew, Mike McQuaid, ha riconosciuto il problema ed espresso frustrazione per l’incapacità di Google di prevenire queste truffe.

“Questo sembra essere stato rimosso ora. Ma continua a succedere di nuovo e di nuovo, e Google sembra dare priorità ai ricavi dai truffatori. Si prega di condividere ampiamente in modo che Google possa affrontarlo permanentemente,” ha twittato McQuaid.

Sebbene l’annuncio malevolo sia stato rimosso, la minaccia rimane, poiché gli hacker possono utilizzare altri domini di reindirizzamento per continuare le loro campagne.

Si consiglia agli utenti di Homebrew di esercitare cautela quando cliccano su annunci sponsorizzati da Google e di verificare di visitare i siti ufficiali di un progetto o di un’azienda prima di scaricare software o inserire informazioni sensibili.

Per proteggersi da potenziali rischi, gli utenti dovrebbero aggiungere ai segnalibri i siti ufficiali di progetti fidati come Homebrew e accedervi direttamente.

Dovrebbero anche evitare di cliccare su annunci sponsorizzati per il download di software e controllare attentamente gli URL per assicurarsi che corrispondano al sito legittimo prima di procedere.