Злоумышленники используют рекламу в Google, чтобы маскироваться под сайт Homebrew и распространять малварь для Mac и Linux, которая ворует учетные данные, информацию из браузера и данные криптовалютных кошельков.
Первым вредоносную рекламу в Google https://x.com/ryanchenkie/status/1880730173634699393ИБ-исследователь Райан Ченки (Ryan Chenkie). Как сообщает издание https://www.bleepingcomputer.com/new...-with-malware/, в этой кампании используется малварь https://xakep.ru/2023/04/28/atomic-macos-stealer/(она же Atomic). Этот инфостилер разработан для систем под управлением macOS и продается по подписке (1000 долларов в месяц).
Ранее эта малварь была https://xakep.ru/2024/10/22/clickfix/и в других кампаниях с использованием вредоносной рекламы, продвигающей фейковые страницы Google Meet. По словам исследователей, в настоящее время AmosStealer является основным стилером для хакеров, нацеленных на пользователей Apple.
Homebrew представляет собой сто*рон*ний пакет*ный менед*жер для macOS и Linux, и его популярность эксплуатируют преступники. Вредоносная реклама, замеченная в Google, отображала корректный URL-адрес brew.sh, вводя в заблуждение даже знакомых с проектом пользователей. Однако на самом деле такие объявления перенаправляли жертв на фальшивый сайт Homebrew, расположенный по адресу brewe[.]sh.
https://xakep.ru/wp-content/uploads/...h0WYAATosD.jpg
Вредоносная реклама
Нужно отметить, что злоумышленники уже давно используют тактику с отображением доверенных URL-адресов в своих объявлениях, чтобы обманом вынудить пользователей переходить на якобы официальные сайты. К примеру, ранее специалисты находили похожую вредоносную рекламу, которая маскировалась даже под https://xakep.ru/2024/08/01/fake-google-authenticator/ и https://xakep.ru/2025/01/16/fake-google-ads/.
В новой вредоносной кампании, попадая на фальшивый сайт, потенциальная жертва видела предложение установить Homebrew, введя определенную команду в терминале macOS или в командной строке Linux. При этом настоящий сайт Homebrew предлагает выполнить аналогичную команду для установки легитимного ПО. Но после выполнения команды с сайта злоумышленников на устройство пользователя загружается стилер Amos, который способен похитить данные более чем из 50 криптовалютных расширений и кошельков, выключая Binance, Coinomi, Electrum и Exodus.
https://xakep.ru/wp-content/uploads/...ebrew-site.jpg
Фальшивый сайт
Руководитель проекта Homebrew Майк Маккуейд (Mike McQuaid) сообщил журналистам, что разработчики в курсе сложившейся ситуации, но подчеркнул, что она находится вне их контроля, и раскритиковал Google за отсутствие должных проверок.
«Мы мало что можем с этим сделать, это повторяется снова и снова, а Google, похоже, нравится получать деньги от мошенников. Пожалуйста, распространите эту информацию, и, надеюсь, кто-нибудь в Google решит эту проблему навсегда», — говорит Маккуейд.
https://xakep.ru/2025/01/22/fake-homebrew/