Hackers estão abusando mais uma vez dos anúncios do Google para disseminar malware, usando um site falso do Homebrew para infectar dispositivos Mac e Linux com um infostealer que rouba credenciais, dados de navegadores e carteiras de criptomoedas.
A campanha de anúncios maliciosos do Google foi detectada por Ryan Chenkie, que alertou no X sobre o risco de infecção por malware.
O malware utilizado nesta campanha é o AmosStealer (também conhecido como 'Atomic'), um infostealer projetado para sistemas macOS e vendido a criminosos cibernéticos como assinatura de US$ 1.000/mês.
O malware foi visto recentemente em outras campanhas de malvertising promovendo páginas falsas de conferência do Google Meet e atualmente é o stealer preferido dos cibercriminosos que visam usuários da Apple.
Homebrew é um gerenciador de pacotes open-source popular para macOS e Linux, permitindo aos usuários instalar, atualizar e gerenciar software a partir da linha de comando.
Um anúncio malicioso do Google exibiu a URL correta do Homebrew, "brew.sh", enganando até mesmo usuários familiarizados a clicarem nele.
No entanto, o anúncio redirecionava para um site falso do Homebrew hospedado em "brewe.sh".
Os malvertisers utilizaram extensivamente essa técnica de URL para enganar usuários a clicarem no que parece ser o site legítimo de um projeto ou organização.
Ao chegar ao site, é solicitado ao visitante que instale o Homebrew colando um comando mostrado no Terminal do macOS ou um prompt de shell do Linux.
O site legítimo do Homebrew fornece um comando similar a ser executado para instalar o software legítimo.
No entanto, ao executar o comando mostrado pelo site falso, ele fará o download e executará malware no dispositivo.
O pesquisador de segurança JAMESWT descobriu que o malware soltado neste caso [VirusTotal] é o Amos, um infostealer poderoso que visa mais de 50 extensões de criptomoedas, carteiras de desktop e dados armazenados nos navegadores web.
O líder do projeto Homebrew, Mike McQuaid, declarou que o projeto está ciente da situação mas destacou que está além do seu controle, criticando o Google pela falta de escrutínio.
"Líder do Projeto Mac Homebrew aqui. Parece que isso foi retirado agora", tuitou McQuaid.
"Não há muito que possamos fazer sobre isso, realmente, isso continua acontecendo repetidas vezes e o Google parece gostar de aceitar dinheiro de golpistas. Por favor, ajudem a divulgar isso e, esperançosamente, alguém no Google resolverá isso de vez."
No momento da escrita, o anúncio malicioso foi retirado, mas a campanha pode continuar via outros domínios de redirecionamento, então os usuários do Homebrew precisam estar atentos a anúncios patrocinados para o projeto.
Infelizmente, anúncios maliciosos continuam sendo um problema nos resultados de pesquisa do Google Search para vários termos de pesquisa, até mesmo para o próprio Google Ads.
Nessa campanha, os atores de ameaças visaram anunciantes do Google para roubar suas contas e executar campanhas maliciosas sob o disfarce de entidades legítimas e verificadas.
Para minimizar o risco de infecção por malware, ao clicar em um link no Google, certifique-se de que foi direcionado para o site legítimo de um projeto ou empresa antes de inserir informações sensíveis ou fazer download de software.
Outro método seguro é marcar os sites oficiais dos projetos que você precisa visitar frequentemente para obter software e usar esses marcadores em vez de pesquisar online toda vez.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...