Przestępcy wykorzystują fałszywe reklamy Mac Homebrew Google

W ramach nowej złośliwej kampanii skierowanej przeciwko użytkownikom produktów Apple przestępcy rozprzestrzeniają złośliwe oprogramowanie za pomocą fałszywych reklam Mac Homebrew w serwisie Google.

Rozprzestrzenianie złośliwego oprogramowania za pośrednictwem fałszywych reklam Homebrew

Programista Ryan Chenkie wykrył złośliwą kampanię reklamową Google skierowaną do użytkowników komputerów Mac, zawierającą złośliwe oprogramowanie typu infostealer.

W krótkim ostrzeżeniu dotyczącym bezpieczeństwa opublikowanym na platformie X Chenkie ostrzega innych deweloperów przed ostrożnością podczas korzystania z aplikacji Homebrew, zauważając, że Google wyświetla kilka sponsorowanych linków do fałszywej kopii witryny Homebrew.

Fałszywa strona internetowa rzekomo zawiera polecenie cURL umożliwiające uruchomienie złośliwego oprogramowania, a jej adres URL jest niemal identyczny z adresem jej legalnego odpowiednika, a odróżnia je tylko jedna litera.

Użytkownicy systemu macOS padają ofiarą infostealera AmosStealer

W ramach tej kampanii złośliwego oprogramowania przestępcy wykorzystali AmosStealer (znany również jako Atomic), odmianę złośliwego oprogramowania przeznaczoną głównie do systemów macOS i obecnie dostępną na zasadzie subskrypcji.

Cyberprzestępcy muszą zapłacić tysiąc dolarów za każdy miesiąc dostępu do złośliwego oprogramowania kradnącego informacje. AmosStealer jest znany ze swojej zdolności do kradzieży danych uwierzytelniających, portfeli kryptowalutowych i danych przeglądarek z zainfekowanych urządzeń.

Atakujący wykorzystują sztuczkę przekierowania strony internetowej

Wielu zaawansowanych użytkowników systemu macOS zna popularnego menedżera pakietów typu open source Homebrew, który umożliwia instalację, zarządzanie i aktualizowanie oprogramowania z poziomu terminala systemowego.

Chociaż atakujący zmanipulowali złośliwą reklamę Google, aby wyświetlała prawidłowy adres URL Homebrew, „brew.sh”, reklama przekierowywała odwiedzających do fałszywego adresu URL odpowiednika witryny, „brewe[.]sh”.

Przekierowywanie adresów URL to powszechna technika mająca na celu nakłonienie odwiedzających do interakcji z pozornie legalnymi linkami, które następnie są kierowane na złośliwe adresy, często imitujące legalne firmy, organizacje, usługi lub produkty.

Oszukany i zmuszony do zainstalowania Homebrew naszpikowanego złośliwym oprogramowaniem

Gdy użytkownicy trafią na złośliwą stronę, otrzymują instrukcje, jak zainstalować Homebrew na swoich urządzeniach. Podobnie jak jego legalny odpowiednik, strona internetowa zawiera nawet polecenie, które użytkownicy są zachęcani wkleić do swoich terminali macOS lub Linux.

Zgodnie z oczekiwaniami, wklejenie i wykonanie polecenia terminalowego fałszywej witryny internetowej powoduje pobranie i zainstalowanie złośliwego oprogramowania na urządzeniu użytkownika.

Mimo że w międzyczasie złośliwe reklamy zostały usunięte, osoby atakujące mogły utworzyć inną kampanię reklamową, wykorzystując inne domeny przekierowujące.

Ochrona przed złodziejami informacji i innymi zagrożeniami cybernetycznymi

Użytkownicy komputerów Mac muszą zachować czujność, aby wykrywać i powstrzymywać złośliwe kampanie reklamowe, które promują infostealerów i inne podobne zagrożenia. Jednak czasami ostrożność nie wystarczy, aby zachować ochronę.

Dedykowane oprogramowanie, takie jak Bitdefender Antywirus for Mac, obejmuje szeroki zakres funkcji chroniących Twoje urządzenie przed włamaniami, w tym kompleksową, ciągłą ochronę przed wirusami, trojanami, robakami, ransomware, spyware, exploitami typu zero-day, infostealerami, rootkitami i innymi zagrożeniami.