Нещодавно виявлена ​​рекламна кампанія, націлена на користувачів macOS, скидає зловмисне програмне забезпечення, яке викрадає інформацію, через підроблений веб-сайт Homebrew.

Автори кампанії покладалися на рекламу Google для популярного менеджера пакетів з відкритим кодом Homebrew, який дозволяє користувачам macOS і Linux встановлювати програмне забезпечення з відкритим кодом за допомогою терміналу.

Шкідлива реклама, як виявив розробник Райан Ченкі, містила посилання на законний сайт Homebrew brew.sh. Однак, щойно користувачі натискали оголошення, їх перенаправляли на підроблений веб-сайт Homebrew, який мав майже ідентичну URL-адресу brewe.sh.

На шахрайському веб-сайті, як попереджав Ченкі на X (раніше Twitter), містилася команда cURL для доставки зловмисного програмного забезпечення. Відвідувачам було запропоновано запустити команду для встановлення Homebrew, але замість цього вони заразили свої системи шкідливим програмним забезпеченням для викрадання інформації Amos Stealer.

Також відомий як Atomic, викрадач macOS вперше був помічений у 2023 році, коли загрозливий актор почав рекламувати його за 1000 доларів на місяць, стверджуючи, що він може викрадати паролі, інформацію Keychain, системну інформацію, файли cookie, гаманці криптовалюти, дані платіжних карток і файли.

До кінця 2023 року була помічена перша рекламна кампанія з розповсюдження Amos. Використовуючи зламаний обліковий запис рекламодавця, зловмисники проштовхували зловмисну ​​рекламу Google із посиланнями на підроблений веб-сайт для програми TradingView для відстеження фінансового ринку.

На початку 2024 року дослідники безпеки пролили світло на зловмисну ​​кампанію розповсюдження Amos та кількох інших викрадачів інформації через GitHub. У жовтні з’явилися подробиці іншої кампанії розповсюдження, яка зловживала підробленими сторінками Google Meet.

Нова кампанія базується на тактиці, яка використовувалася протягом кількох років, щоб перенаправляти жертв на фальшиві веб-сайти, видаючи себе за Google Ads. Минулого тижня Malwarebytes попередив, що тисячі клієнтів Google у всьому світі, ймовірно, постраждали від рекламної кампанії, націленої на самих рекламодавців.

Шахрайський веб-сайт Homebrew, очевидно, був розміщений на aaPanel, який був поінформований про зловживання. Google видалив шкідливу рекламу, але незрозуміло, як зловмиснику вдалося змусити сканери інтернет-гіганта побачити законну URL-адресу Homebrew замість фальшивої.

Тиждень безпеки електронною поштою надіслав Google заяву з цього приводу та оновить цю статтю, щойно надійде відповідь.

пов'язані: Інфекції Infostealer призводять до злому системи продажу квитків Telefonica

пов'язані: Уразливості в програмному забезпеченні віддаленого доступу SimpleHelp можуть призвести до зламу системи

пов'язані: ФБР використовує власний трюк «самовидалення» зловмисного програмного забезпечення, щоб стерти китайський PlugX із американських комп’ютерів

пов'язані: Консоль керування світлодіодним освітленням використовувалася для поширення шкідливих програм