Хакеры используют Google Ads для распространения вредоносного ПО через фальшивый сайт Homebrew

Киберпреступники используют рекламу Google для распространения вредоносного ПО, перенаправляя пользователей Mac и Linux на фальшивый сайт Homebrew с инфостилером.

Эта кампания вредоносного ПО предназначена для кражи конфиденциальной информации, включая учетные данные, данные браузера и криптовалютные кошельки.

Инфостилер, о котором идет речь, AmosStealer (или Atomic), был обнаружен экспертом по безопасности Райаном Ченки, который поднял тревогу в X по поводу этой кампании и ее потенциальных рисков.

Специально адаптированный для систем macOS, этот инфостилер продается киберпреступникам на подписочной основе за 1000 долларов в месяц.

Для тех, кто не в курсе, Homebrew — это бесплатная и открытая система управления пакетами программного обеспечения, которая упрощает установку программного обеспечения на операционных системах Apple, macOS и Linux.

Однако в последнее время он стал центром внимания для кампаний по вредоносной рекламе, продвигающих фальшивые страницы Google Meet.

Хакеры использовали обманчивую рекламу Google, которая отображала законный URL Homebrew, “brew.sh”, обманывая ничего не подозревающих пользователей, чтобы они кликнули по ней.

Затем она перенаправляла пользователей на фальшивый сайт, размещенный по адресу “brewe.sh”, который имитировал настоящий. Он инструктировал посетителей установить Homebrew, запустив команду в их терминале или в командной строке Linux с фальшивого сайта, которая, после выполнения, устанавливала вредоносное ПО вместо законного программного обеспечения на устройстве.

Исследователь безопасности JAMESWT идентифицировал вредоносное ПО, установленное в этом случае, как Amos, мощный инфостилер, способный нацеливаться на более чем 50 расширений криптовалют, настольные кошельки и данные веб-браузера.

Руководитель проекта Homebrew, Майк МакКуэйд, признал проблему и выразил недовольство по поводу неспособности Google предотвратить эти мошенничества.

“Это, похоже, сейчас удалено. Но это продолжает происходить снова и снова, и Google, похоже, ставит приоритет на доходы от мошенников. Пожалуйста, поделитесь этим широко, чтобы Google мог решить эту проблему навсегда,” — написал МакКуэйд в Twitter.

Хотя вредоносная реклама была удалена, угроза остается, так как хакеры могут использовать другие домены перенаправления для продолжения своих кампаний.

Пользователям Homebrew рекомендуется проявлять осторожность при нажатии на рекламу, спонсируемую Google, и проверять, что они посещают официальные сайты проекта или компании перед загрузкой программного обеспечения или вводом конфиденциальной информации.

Чтобы защитить себя от потенциальных рисков, пользователи должны добавить в закладки официальные сайты доверенных проектов, таких как Homebrew, и получать к ним доступ напрямую.

Им также следует избегать нажатия на спонсируемую рекламу для загрузки программного обеспечения и дважды проверять URL, чтобы убедиться, что они соответствуют законному сайту перед продолжением.