Злоумышленники используют рекламу в Google, чтобы маскироваться под сайт Homebrew и распространять малварь для Mac и Linux, которая ворует учетные данные, информацию из браузера и данные криптовалютных кошельков.
Первым вредоносную рекламу в Google обнаружил ИБ-исследователь Райан Ченки (Ryan Chenkie). Как сообщает издание Bleeping Computer, в этой кампании используется малварь AmosStealer (она же Atomic). Этот инфостилер разработан для систем под управлением macOS и продается по подписке (1000 долларов в месяц).
Ранее эта малварь была замечена и в других кампаниях с использованием вредоносной рекламы, продвигающей фейковые страницы Google Meet. По словам исследователей, в настоящее время AmosStealer является основным стилером для хакеров, нацеленных на пользователей Apple.
Homebrew представляет собой сторонний пакетный менеджер для macOS и Linux, и его популярность эксплуатируют преступники. Вредоносная реклама, замеченная в Google, отображала корректный URL-адрес brew.sh, вводя в заблуждение даже знакомых с проектом пользователей. Однако на самом деле такие объявления перенаправляли жертв на фальшивый сайт Homebrew, расположенный по адресу brewe[.]sh.
Нужно отметить, что злоумышленники уже давно используют тактику с отображением доверенных URL-адресов в своих объявлениях, чтобы обманом вынудить пользователей переходить на якобы официальные сайты. К примеру, ранее специалисты находили похожую вредоносную рекламу, которая маскировалась даже под Google Authenticator и Google Ads.
В новой вредоносной кампании, попадая на фальшивый сайт, потенциальная жертва видела предложение установить Homebrew, введя определенную команду в терминале macOS или в командной строке Linux. При этом настоящий сайт Homebrew предлагает выполнить аналогичную команду для установки легитимного ПО. Но после выполнения команды с сайта злоумышленников на устройство пользователя загружается стилер Amos, который способен похитить данные более чем из 50 криптовалютных расширений и кошельков, выключая Binance, Coinomi, Electrum и Exodus.
Руководитель проекта Homebrew Майк Маккуейд (Mike McQuaid) сообщил журналистам, что разработчики в курсе сложившейся ситуации, но подчеркнул, что она находится вне их контроля, и раскритиковал Google за отсутствие должных проверок.
«Мы мало что можем с этим сделать, это повторяется снова и снова, а Google, похоже, нравится получать деньги от мошенников. Пожалуйста, распространите эту информацию, и, надеюсь, кто-нибудь в Google решит эту проблему навсегда», — говорит Маккуейд.
