サイバー犯罪者は Google の広告を利用して、Mac および Linux ユーザーをインフォスティーラーを備えた偽の Homebrew Web サイトに誘導し、マルウェアを拡散させています。
このマルウェア キャンペーンは、認証情報、ブラウザ データ、暗号通貨ウォレットなどの機密情報を盗むように設計されています。
問題の情報窃取者である AmosStealer (または Atomic) は、セキュリティ専門家の Ryan Chenkie によって発見され、警鐘を鳴らしました。X上でこのキャンペーンとその潜在的なリスクについて。
この情報窃盗ツールは特に macOS システム向けに調整されており、サブスクリプション ベースで月額 1,000 ドルでサイバー犯罪者に販売されます。
知らない人のために説明すると、Homebrew は、Apple のオペレーティング システム、macOS、Linux へのソフトウェアのインストールを簡素化する、無料のオープンソース ソフトウェア パッケージ管理システムです。
しかし、最近では、偽の Google Meet ページを宣伝するマルバタイジング キャンペーンの中心となっています。
ハッカーは、正規の Homebrew URL「brew.sh」を表示する欺瞞的な Google 広告を使用し、疑いを持たないユーザーをだましてクリックさせました。
その後、本物のサイトを模倣した「brewe.sh」でホストされる偽のサイトにユーザーをリダイレクトしました。このウイルスは、訪問者に対し、ターミナルでコマンドを実行するか、偽の Web サイトから Linux シェル プロンプトを実行して Homebrew をインストールするよう指示し、実行すると正規のソフトウェアの代わりにマルウェアがデバイスにインストールされます。
セキュリティ研究者の JAMESWT は、この事件で投下されたマルウェアは、50 を超える暗号通貨拡張機能、デスクトップ ウォレット、Web ブラウザ データを標的にする強力な情報窃取手段である Amos であると特定しました。
Homebrew のプロジェクト リーダーである Mike McQuaid 氏は、この問題を認め、Google がこうした詐欺を防ぐことができないことに不満を表明した。
「これはもう削除されたようです。しかし、それは何度も繰り返されており、Googleは詐欺師からの収益を優先しているようです。 Google が永続的に対処できるよう、この件を広く共有してください。」マクエイド氏がツイート。
悪意のある広告は削除されましたが、ハッカーが他のリダイレクト ドメインを使用してキャンペーンを継続する可能性があるため、脅威は依然として残っています。
Homebrew ユーザーは、Google スポンサーの広告をクリックする際には注意し、ソフトウェアをダウンロードしたり機密情報を入力したりする前に、プロジェクトまたは企業の公式 Web サイトにアクセスしていることを確認することをお勧めします。
潜在的なリスクから身を守るために、ユーザーは Homebrew などの信頼できるプロジェクトの公式 Web サイトをブックマークし、直接アクセスする必要があります。
また、ソフトウェアのダウンロードのためにスポンサー広告をクリックすることは避け、続行する前に URL を再確認して正規のサイトと一致することを確認する必要があります。
