해커들이 가짜 홈브류 사이트를 통해 악성코드를 배포하기 위해 구글 광고를 사용하다

사이버 범죄자들이 구글 광고를 사용하여 Mac 및 Linux 사용자들을 악성 정보 탈취기가 포함된 가짜 홈브류 웹사이트로 유도하여 악성코드를 퍼뜨리고 있습니다.

이 악성코드 캠페인은 자격 증명, 브라우저 데이터 및 암호화폐 지갑을 포함한 민감한 정보를 훔치도록 설계되었습니다.

문제의 정보 탈취기인 AmosStealer(또는 Atomic)는 보안 전문가 Ryan Chenkie에 의해 발견되었으며, 그는 이 캠페인과 그 잠재적 위험에 대해 X에서 경고했습니다.

특히 macOS 시스템에 맞춤형으로 설계된 이 정보 탈취기는 사이버 범죄자들에게 월 $1,000의 구독료로 판매됩니다.

모르는 분들을 위해 설명하자면, 홈브류는 Apple의 운영 체제인 macOS와 Linux에서 소프트웨어 설치를 간소화하는 무료 오픈 소스 소프트웨어 패키지 관리 시스템입니다.

그러나 최근에는 가짜 Google Meet 페이지를 홍보하는 악성 광고 캠페인의 초점이 되었습니다.

해커들은 합법적인 홈브류 URL인 “brew.sh”를 표시하는 기만적인 구글 광고를 사용하여 무심코 클릭하는 사용자를 속였습니다.

그 후 사용자를 가짜 사이트인 “brewe.sh”로 리디렉션하여 실제 사이트를 모방했습니다. 이 사이트는 방문자에게 터미널 또는 Linux 셸 프롬프트에서 명령을 실행하여 홈브류를 설치하라고 지시했으며, 실행 시 장치에 합법적인 소프트웨어 대신 악성코드를 설치했습니다.

보안 연구원 JAMESWT는 이 경우에 떨어진 악성코드를 Amos로 식별했으며, 이는 50개 이상의 암호화폐 확장, 데스크탑 지갑 및 웹 브라우저 데이터를 타겟팅할 수 있는 강력한 정보 탈취기입니다.

홈브류 프로젝트 리더인 Mike McQuaid는 이 문제를 인정하고 구글이 이러한 사기를 방지하지 못하는 것에 대한 불만을 표명했습니다.

“이제는 삭제된 것 같습니다. 하지만 계속해서 반복되고 있으며, 구글은 사기꾼으로부터의 수익을 우선시하는 것 같습니다. 구글이 이를 영구적으로 해결할 수 있도록 널리 공유해 주세요.”라고 McQuaid는 트윗했습니다.

악성 광고는 제거되었지만, 해커들은 다른 리디렉션 도메인을 사용하여 캠페인을 계속할 수 있기 때문에 위협은 여전히 존재합니다.

홈브류 사용자들은 구글 후원 광고를 클릭할 때 주의하고 소프트웨어를 다운로드하거나 민감한 정보를 입력하기 전에 프로젝트나 회사의 공식 웹사이트를 방문하고 있는지 확인해야 합니다.

잠재적 위험으로부터 자신을 보호하기 위해 사용자는 홈브류와 같은 신뢰할 수 있는 프로젝트의 공식 웹사이트를 북마크하고 직접 접근해야 합니다.

또한 소프트웨어 다운로드를 위한 후원 광고를 클릭하는 것을 피하고, 진행하기 전에 URL이 합법적인 사이트와 일치하는지 다시 확인해야 합니다.