Įsilaužėliai ir vėl piktnaudžiauja „Google“ skelbimais, kad platintų kenkėjiškas programas, naudodami netikrą „Homebrew“ svetainę, kad užkrėstų „Mac“ ir „Linux“ įrenginius informacijos vagystė, kuri vagia kredencialus, naršyklės duomenis ir kriptovaliutų pinigines.
Kenkėjišką „Google“ skelbimų kampaniją pastebėjo Ryanas Chenkie, kuris perspėjo X apie kenkėjiškų programų užkrėtimo riziką.
Šioje kampanijoje naudojama kenkėjiška programa yra „AmosStealer“ (dar žinomas kaip „Atomic“), informacijos vagystė, sukurta „macOS“ sistemoms ir parduodama kibernetiniams nusikaltėliams už 1 000 USD per mėnesį prenumeratą.
Kenkėjiška programa neseniai buvo pastebėta kitose kenkėjiškose kampanijose, reklamuojančiose netikrus „Google Meet“ konferencijų puslapius, ir šiuo metu ji yra pagrindinė kibernetinių nusikaltėlių, nusitaikančių į „Apple“ naudotojus, vagilė.
Taikymas „Homebrew“ naudotojams
Homebrew yra populiari atvirojo kodo paketų tvarkyklė, skirta „MacOS“ ir „Linux“, leidžianti vartotojams įdiegti, atnaujinti ir valdyti programinę įrangą iš komandinės eilutės.
Kenkėjiškame „Google“ skelbime buvo rodomas teisingas „Homebrew“ URL „brew.sh“, priversdamas jį spustelėti net pažįstamus vartotojus. Tačiau skelbimas nukreipė juos į netikrą Homebrew svetainę, esančią adresu „brewe.sh”.
Piktybiniai reklamuotojai plačiai naudojo šią URL techniką, kad apgaudinėtų vartotojus, kad jie spustelėtų, atrodo, teisėtą projekto ar organizacijos svetainę.
Pasiekęs svetainę, lankytojas raginamas įdiegti „Homebrew“ įklijuojant komandą, rodomą „macOS“ terminale arba „Linux“ apvalkalo eilutėje. Teisėta Homebrew svetainė pateikia panašią komandą, kurią reikia vykdyti norint įdiegti teisėtą programinę įrangą.
Tačiau paleidus komandą, kurią rodo netikra svetainė, ji atsisiųs ir įrenginyje vykdys kenkėjišką programą.
Saugumo tyrinėtojas JAMESWT išsiaiškino, kad šiuo atveju pašalinta kenkėjiška programa („VirusTotal“) yra „Amos“ – galingas informacijos stealer, skirtas daugiau nei 50 kriptovaliutų plėtinių, darbalaukio piniginių ir žiniatinklio naršyklėse saugomų duomenų.
„Homebrew“ projekto vadovas Mike'as McQuaidas pareiškė, kad projektas žino apie situaciją, tačiau pabrėžė, kad jis jo nekontroliuoja, kritikuodamas „Google“ dėl nepakankamo patikrinimo.
„Čia yra „Mac Homebrew“ projekto vadovas. Atrodo, kad dabar tai panaikinta“, – tviteryje parašė McQuaidas.
„Iš tikrųjų mažai ką galime padaryti dėl to, tai kartojasi vėl ir vėl, ir atrodo, kad „Google” mėgsta imti pinigus iš sukčių. Prašom, pastiprinkite tai ir tikimės, kad kažkas iš „Google” tai ištaisys visam laikui.”
Rašymo metu kenkėjiškas skelbimas buvo pašalintas, tačiau kampanija gali tęstis per kitus peradresavimo domenus, todėl „Homebrew“ vartotojai turi būti atsargūs dėl projekto remiamų skelbimų.
Deja, kenkėjiški skelbimai ir toliau kelia problemų „Google“ paieškos rezultatuose pagal įvairius paieškos terminus, net ir pačioje „Google Ads“.
Toje kampanijoje grėsmės veikėjai nusitaikė į „Google“ reklamuotojus, kad pavogtų jų paskyras ir vykdytų kenkėjiškas kampanijas, prisidengiant teisėtais ir patikrintais subjektais.
Kad sumažintumėte kenkėjiškų programų užkrėtimo riziką, prieš įvesdami neskelbtiną informaciją arba atsisiųsdami programinę įrangą, kai tik spustelėsite nuorodą „Google“, įsitikinkite, kad esate nukreiptas į teisėtą projekto ar įmonės svetainę.
Kitas saugus būdas yra pažymėti oficialias projektų svetaines, kuriose reikia dažnai lankytis ieškant programinės įrangos, ir naudoti jas, o ne kaskart ieškoti internete.