黑客利用过去二十年断断续续的攻击媒介,瞄准用户将恶意软件伪装成流行的 Homebrew 工具,并通过欺骗性的 Google 广告进行传播。
恶意行为者正在利用 Google 广告通过假冒 Homebrew 网站传播恶意软件。活动目标Linux 用户的信息窃取程序会泄露凭证、浏览器数据和加密货币钱包。
Homebrew 是一种广泛使用的开源包管理器,使用户能够通过命令行管理软件。黑客最近利用其受欢迎程度制作了恶意谷歌广告。
开发人员 Ryan Chenkie 发现的该广告看起来合法,显示了 Homebrew 网站的正确 URL“brew.sh”。然而,点击它的用户被重定向到托管在“brewe.sh”的虚假网站。
该假冒网站模仿 Homebrew 的安装过程,诱骗访问者运行恶意命令。虽然合法的 Homebrew 网站也提供此类安装命令,但运行来自假冒网站的脚本会下载并执行恶意软件,特别是 AmosStealer。
AmosStealer,也称为“Atomic Stealer”,是一款专注于 macOS 的信息窃取程序,以每月 1,000 美元的价格出售给网络犯罪分子。它的目标是超过 50 个加密货币钱包、浏览器存储的数据和桌面应用程序。
此前,该恶意软件已被用于类似的活动,包括伪造的 Google Meet 页面,使其成为针对苹果的网络攻击的首选工具。
恶意 Google 搜索结果。图片来源:@ryanchenkie
Homebrew 的项目负责人 Mike McQuaid 对 Google 无法阻止此类诈骗表示失望。虽然恶意广告已被删除,但麦克奎德强调,由于对搜索广告的监管不足,类似事件仍在发生。
网络安全专家建议在搜索流行工具时避免使用赞助商链接。将官方网站加入书签或直接访问可以帮助用户最大限度地降低风险。
谷歌与黑客的斗争
控制恶意广告是一场艰苦的战斗。网络犯罪分子不断寻找巧妙的方法来智取检测,例如调整 URL 或在获得批准后更改广告内容以避开漏洞。
谷歌每天要处理数十亿条广告,因此严重依赖自动化,但仅靠自动化还不够。其运营规模之大,且缺乏重大的人力监督,意味着一些恶意活动不可避免地会得逞。
例如,,同样的 AmosStealer 恶意软件首先被检测到,并通过消息应用程序 Telegram 进行销售。当年9月,黑客恶意谷歌广告。
2024 年 8 月,攻击者包括 Loom 在内的流行应用程序,诱骗用户通过 Google 赞助的欺骗性 URL 下载恶意软件。
即使拥有识别和删除有害广告的工具,诈骗者不断变化的策略以及全球范围内执行规则的复杂性使谷歌难以保持领先地位。
如何避免恶意谷歌广告
为了避免此类攻击,请确保在点击之前仔细检查网站 URL,坚持使用受信任网站的书签,并避免从不熟悉或赞助的链接安装软件。
谷歌已经删除了这一特定的恶意广告。历史已经证明,不良广告带来的危险并未消失,因此 Mac 用户(尤其是使用 Homebrew 的用户)需要保持警惕。
-xl.jpg)
