ハッカーが再びGoogle広告を悪用してマルウェアを拡散している。偽のHomebrewウェブサイトを使い、認証情報、ブラウザ・データ、暗号通貨ウォレットを盗むインフォステーラーでMacやLinuxデバイスを感染させている。
この悪質なGoogle広告キャンペーンはRyan Chenkieによって発見され、マルウェア感染の危険性についてX上で警告された。
このキャンペーンで使用されているマルウェアはAmosStealer(別名「Atomic」)で、macOSシステム用に設計された情報窃取ツールであり、サイバー犯罪者に月額1,000ドルのサブスクリプションとして販売されている。
このマルウェアは最近、偽のGoogle Meet会議ページを宣伝する他の不正広告キャンペーンでも見られ、現在、Appleユーザーを標的とするサイバー犯罪者がよく使用する窃取ツールとなっています。
Homebrewユーザーを狙う
Homebrewは、macOSやLinux向けの人気の高いオープンソースのパッケージ・マネージャーであり、ユーザーはコマンドラインからソフトウェアのインストール、アップデート、管理を行うことができる。
悪質なGoogle広告は、正しいHomebrewのURLである「brew.sh」を表示し、慣れ親しんだユーザーをも騙してクリックさせた。しかしこの広告は、代わりに「brew.sh」でホストされている偽のHomebrewサイトにリダイレクトしていた。
マルバーターは、プロジェクトや組織の正規のウェブサイトと思われるものをクリックさせるために、このURLのテクニックを広範囲にわたって使用しています。
ソースはこちら:ryanchenkie
サイトに到達すると、訪問者はmacOSのターミナルまたはLinuxのシェルプロンプトに表示されるコマンドを貼り付けてHomebrewをインストールするよう促されます。正規のHomebrewサイトでは、正規のソフトウェアをインストールするために実行する同様のコマンドを提供している。
しかし、偽サイトが示すコマンドを実行すると、デバイス上にマルウェアがダウンロードされ、実行されてしまう。
ソースはこちら:ryanchenkie
セキュリティ研究者のJAMESWT氏は、今回投下されたマルウェア[VirusTotal]が、50以上の暗号通貨拡張機能、デスクトップウォレット、ウェブブラウザに保存されたデータを標的とする強力な情報窃取ツール「Amos」であることを発見した。
HomebrewのプロジェクトリーダーであるMike McQuaid氏は、プロジェクトは状況を認識しているが、自分たちの手に負えないものだと強調し、Googleの精査不足を批判した。
「Mac Homebrewプロジェクトリーダーです。これは今取り下げられたようだ “とMcQuaidはつぶやいた。
「Googleは詐欺師からお金を取るのが好きなようだ。Googleの誰かがこれを永久に修正することを願っています。”
本稿執筆時点では、この悪質な広告は削除されているが、このキャンペーンは他のリダイレクト・ドメイン経由で継続される可能性があるため、Homebrewユーザーはこのプロジェクトのスポンサー広告に注意する必要がある。
残念ながら、悪質な広告は、様々な検索語句のGoogle検索結果において、Google広告自体においても、引き続き問題となっている。
このキャンペーンでは、脅威行為者がGoogleの広告主を標的にし、アカウントを盗み出し、合法的で検証済みのエンティティを装って悪意のあるキャンペーンを実行していた。
マルウェア感染のリスクを最小限に抑えるには、Googleのリンクをクリックする際、機密情報を入力したりソフトウェアをダウンロードしたりする前に、そのプロジェクトや企業の正規サイトに移動していることを確認することだ。
もう一つの安全な方法は、ソフトウェアを調達するために頻繁に訪れる必要があるプロジェクトの公式サイトをブックマークしておき、毎回オンラインで検索する代わりにそれらを利用することである。
Comments