Hackers Usam Anúncios do Google Para Distribuir Malware Através de Site Falso do Homebrew

Cibercriminosos estão usando anúncios do Google para espalhar malware, direcionando usuários de Mac e Linux para um site falso do Homebrew com um infostealer.

Esta campanha de malware é projetada para roubar informações sensíveis, incluindo credenciais, dados do navegador e carteiras de criptomoedas.

O infostealer em questão, AmosStealer (ou Atomic), foi descoberto pelo especialista em segurança Ryan Chenkie, que soou o alarme no X sobre esta campanha e seus riscos potenciais.

Especificamente adaptado para sistemas macOS, este infostealer é vendido a cibercriminosos em uma base de assinatura por $1.000 por mês.

Para aqueles que não sabem, o Homebrew é um sistema de gerenciamento de pacotes de software gratuito e de código aberto que simplifica a instalação de software nos sistemas operacionais da Apple, macOS e Linux.

No entanto, recentemente se tornou um ponto focal para campanhas de malvertising promovendo páginas falsas do Google Meet.

Hackers usaram um anúncio enganoso do Google que exibia a URL legítima do Homebrew, “brew.sh”, enganando usuários desavisados a clicarem nele.

Ele então redirecionou os usuários para um site falso hospedado em “brewe.sh” que imitava o verdadeiro. Instruía os visitantes a instalar o Homebrew executando um comando em seu Terminal ou em um prompt de shell Linux a partir do site falso, que, ao ser executado, instalava malware em vez do software legítimo no dispositivo.

O pesquisador de segurança JAMESWT identificou o malware dropado neste caso como Amos, um potente infostealer capaz de direcionar mais de 50 extensões de criptomoedas, carteiras de desktop e dados de navegadores da web.

O líder do projeto Homebrew, Mike McQuaid, reconheceu o problema e expressou frustração sobre a incapacidade do Google de prevenir esses golpes.

“Isso parece ter sido removido agora. Mas continua acontecendo repetidamente, e o Google parece priorizar a receita de golpistas. Por favor, compartilhem isso amplamente para que o Google possa resolver isso permanentemente,” tuitou McQuaid.

Embora o anúncio malicioso tenha sido removido, a ameaça permanece, pois hackers podem usar outros domínios de redirecionamento para continuar suas campanhas.

Usuários do Homebrew são aconselhados a ter cautela ao clicar em anúncios patrocinados pelo Google e verificar se estão visitando os sites oficiais de um projeto ou empresa antes de baixar software ou inserir informações sensíveis.

Para se protegerem de riscos potenciais, os usuários devem adicionar aos favoritos os sites oficiais de projetos confiáveis como o Homebrew e acessá-los diretamente.

Eles também devem evitar clicar em anúncios patrocinados para downloads de software e verificar duas vezes as URLs para garantir que correspondam ao site legítimo antes de prosseguir.