Google: annunci falsi di Homebrew colpiscono utenti Mac e Linux

Alcuni hacker stanno di nuovo abusando degli annunci Google per diffondere malware, utilizzando un falso sito web Homebrew per infettare dispositivi Mac e Linux con un infostealer che ruba credenziali, dati del browser e portafogli di criptovaluta. La campagna pubblicitaria dannosa di Google è stata individuata da Ryan Chenkie, che ha avvisato su X del rischio di infezione. Il malware utilizzato in questa campagna è AmosStealer (noto anche come "Atomic"). Si tratta un infostealer progettato per i sistemi macOS e venduto ai criminali informatici con un abbonamento di 1.000 dollari al mese. Il malware è stato visto di recente in altre campagne di malvertising che promuovevano false pagine di Google Meet. Inoltre, è attualmente il l’infostealer preferito dai criminali informatici che prendono di mira gli utenti Apple.

Homebrew è un popolare gestore di pacchetti open source per macOS e Linux, che consente agli utenti di installare, aggiornare e gestire software dalla riga di comando. Una pubblicità Google dannosa ha visualizzato l'URL Homebrew corretto, "brew.sh", ingannando persino gli utenti più attenti. Tale annuncio li ha reindirizzati a un falso sito Homebrew ospitato su "brewe.sh". I malvertiser hanno ampiamente utilizzato questa tecnica URL per indurre gli utenti a fare clic su quello che sembra essere il sito web legittimo per un progetto o un'organizzazione. Una volta raggiunto il sito, al visitatore viene chiesto di installare Homebrew incollando un comando mostrato nel Terminale macOS o in un prompt della shell Linux. Il sito Homebrew legittimo fornisce un comando simile da eseguire per installare il software legittimo. Tuttavia, quando si esegue il comando mostrato dal sito web falso, scaricherà ed eseguirà malware sul dispositivo.

Google: targeting per gli utenti Homebrew

Il ricercatore di sicurezza JAMESWT ha scoperto che il malware rilasciato in questo caso è Amos. Questo potente infostealer prende di mira oltre 50 estensioni di criptovaluta, portafogli desktop e dati archiviati nei browser web. Il project leader di Homebrew, Mike McQuaid, ha dichiarato che il progetto è a conoscenza della situazione. Tuttavia, ha sottolineato che è al di fuori del suo controllo, criticando Google per la sua mancanza di controllo. Al momento, l'annuncio dannoso è stato rimosso, ma la campagna potrebbe continuare tramite altri domini di reindirizzamento. Gli utenti di Homebrew devono quindi stare attenti agli annunci sponsorizzati per il progetto.

Sfortunatamente, gli annunci dannosi continuano a essere un problema nei risultati di ricerca di Google per vari termini di ricerca, anche per Google Ads stesso. Nella campagna in oggetto, gli autori della minaccia hanno preso di mira gli inserzionisti di Google per rubare i loro account e lanciare campagne dannose sotto le mentite spoglie di entità legittime e verificate. Per ridurre al minimo il rischio di infezione da malware, ogni volta che si clicca su un collegamento in Google, bisogna assicurarsi di essere indirizzato al sito legittimo di un progetto o di un'azienda. Ciò vale soprattutto quando si inseriscono informazioni sensibili o scaricare software.