駭客利用過去二十年斷斷續續的攻擊媒介,瞄準使用者將惡意軟體偽裝成流行的 Homebrew 工具,並透過欺騙性的 Google 廣告傳播。
惡意行為者正在利用 Google 廣告透過假冒 Homebrew 網站傳播惡意軟體。活動目標Linux 用戶的資訊竊取程式會洩漏憑證、瀏覽器資料和加密貨幣錢包。
Homebrew 是一種廣泛使用的開源套件管理器,使用戶能夠透過命令列管理軟體。駭客最近利用其受歡迎程度製作了惡意谷歌廣告。
開發人員 Ryan Chenkie 發現的廣告看起來合法,顯示了 Homebrew 網站的正確 URL「brew.sh」。然而,點擊它的用戶被重定向到託管在「brewe.sh」的虛假網站。
該假冒網站模仿 Homebrew 的安裝過程,誘騙訪客運行惡意命令。雖然合法的 Homebrew 網站也提供此類安裝命令,但運行來自假冒網站的腳本會下載並執行惡意軟體,特別是 AmosStealer。
AmosStealer,也稱為“Atomic Stealer”,是一款專注於 macOS 的資訊竊取程序,以每月 1,000 美元的價格出售給網路犯罪分子。它的目標是超過 50 個加密貨幣錢包、瀏覽器儲存的資料和桌面應用程式。
在此之前,該惡意軟體已被用於類似的活動,包括偽造的 Google Meet 頁面,使其成為針對蘋果的網路攻擊的首選工具。
惡意 Google 搜尋結果。圖片來源:@ryanchenkie
Homebrew 的專案負責人 Mike McQuaid 對 Google 無法阻止此類詐騙表示失望。雖然惡意廣告已被刪除,但麥克奎德強調,由於對搜尋廣告的監管不足,類似事件仍在發生。
網路安全專家建議在搜尋流行工具時避免使用贊助商連結。將官方網站加入書籤或直接訪問可以幫助用戶最大限度地降低風險。
谷歌與駭客的鬥爭
控制惡意廣告是一場艱苦的戰鬥。網路犯罪分子不斷尋找巧妙的方法來智取偵測,例如調整 URL 或在獲得批准後更改廣告內容以避免漏洞。
谷歌每天要處理數十億個廣告,因此嚴重依賴自動化,但光靠自動化還不夠。其營運規模之大,且缺乏重大的人力監督,意味著一些惡意活動不可避免地會得逞。
例如,,同樣的 AmosStealer 惡意軟體首先被偵測到,並透過訊息應用程式 Telegram 進行銷售。當年9月,駭客惡意谷歌廣告。
2024 年 8 月,攻擊者包括 Loom 在內的流行應用程序,誘騙用戶透過 Google 贊助的欺騙性 URL 下載惡意軟體。
即使擁有識別和刪除有害廣告的工具,詐騙者不斷變化的策略以及全球範圍內執行規則的複雜性使Google難以保持領先地位。
如何避免惡意谷歌廣告
為了避免此類攻擊,請確保在點擊之前仔細檢查網站 URL,堅持使用受信任網站的書籤,並避免從不熟悉或贊助的連結安裝軟體。
谷歌已經刪除了這特定的惡意廣告。歷史已經證明,不良廣告帶來的危險並未消失,因此 Mac 用戶(尤其是使用 Homebrew 的用戶)需要保持警惕。
