Bilgisayar korsanları, Mac'leri ve Linux cihazlarını kimlik bilgilerini, tarayıcı verilerini ve kripto para cüzdanlarını çalan bir Infostealer ile enfekte etmek için sahte bir homebrew web sitesi kullanarak Google reklamlarını kötü amaçlı yazılım yaymak için bir kez daha kötüye kullanıyor.
Kötü niyetli Google reklamları kampanyası, X üzerinde kötü amaçlı yazılım enfeksiyonu riski konusunda uyaran Ryan Chenkie tarafından tespit edildi.
Bu kampanyada kullanılan kötü amaçlı yazılım, macOS sistemleri için tasarlanmış ve ayda 1000 dolarlık bir abonelik olarak siber suçlulara satılan bir Infostealer olan Amosstealer (aka 'Atomic').
Kötü amaçlı yazılımlar son zamanlarda sahte Google Meet Conferencing sayfalarını teşvik eden diğer kötü niyetli kampanyalarda görüldü ve şu anda Apple kullanıcılarını hedefleyen siber suçlular için Go-the Stealer.
Homebrew, MacOS ve Linux için popüler bir açık kaynaklı paket yöneticisidir ve kullanıcıların komut satırından yazılımı yüklemesine, güncellemesine ve yönetmesine olanak tanır.
Kötü niyetli bir Google reklamı, "Brew.sh", tanıdık kullanıcıları bile tıklamaya kandırarak doğru homebrew URL'sini gösterdi. Ancak, reklam onları "Brewe.sh" adresinde barındıran sahte bir homebrew sitesine yönlendirdi.
Malvertiser'lar, kullanıcıları bir proje veya kuruluş için meşru web sitesi gibi görünen şeyleri tıklamak için bu URL tekniğini kapsamlı bir şekilde kullanmıştır.
Siteye ulaştıktan sonra, ziyaretçi MacOS terminalinde veya bir Linux kabuk isteminde gösterilen bir komut yapıştırarak Homebrew'u kurması istenir. Meşru homebrew sitesi, meşru yazılımı yüklemek için yürütmek için benzer bir komut sağlar.
Ancak, sahte web sitesi tarafından gösterilen komutu çalıştırırken, cihazda kötü amaçlı yazılımları indirecek ve yürütecektir.
Güvenlik araştırmacısı Jameswt, bu durumda [Virustotal] kötü amaçlı yazılımların 50'den fazla kripto para birimi uzantısını, masaüstü cüzdanlarını ve web tarayıcılarında depolanan verileri hedefleyen güçlü bir infostealer olan Amos olduğunu buldu.
Homebrew Proje Lideri Mike McQuaid, projenin durumun farkında olduğunu ancak Google'ı inceleme eksikliği nedeniyle eleştirerek kontrolünün ötesinde olduğunu vurguladı.
McQuaid, "Mac Homebrew Proje Lideri burada. Bu şimdi düşüyor gibi görünüyor."
"Bu konuda gerçekten yapabileceğimiz çok az şey var, tekrar tekrar olmaya devam ediyor ve Google dolandırıcılardan para almaktan hoşlanıyor gibi görünüyor. Lütfen bunu işaret eder ve umarım Google'daki biri bunu iyi bir şekilde düzeltir."
Yazma sırasında, kötü niyetli reklam kaldırıldı, ancak kampanya diğer yeniden yönlendirme alanları aracılığıyla devam edebilir, bu nedenle homebrew kullanıcılarının proje için sponsorlu reklamlara karşı dikkatli olması gerekir.
Ne yazık ki, kötü niyetli reklamlar, Google reklamlarının kendisi için bile çeşitli arama terimleri için Google arama sonuçlarında sorun olmaya devam ediyor.
Bu kampanyada, tehdit aktörleri Google reklamverenlerini, meşru ve doğrulanmış varlıkların kisvesi altında hesaplarını çalmayı ve kötü niyetli kampanyalar yürütmeyi hedefledi.
Kötü amaçlı yazılım enfeksiyonu riskini en aza indirmek için, Google'daki bir bağlantıyı tıklarken, hassas bilgiler girmeden veya yazılım indirmeden önce bir proje veya şirket için meşru siteye getirildiğinizden emin olun.
Başka bir güvenli yöntem, yazılım tedarik etmek ve her seferinde çevrimiçi arama yapmak yerine bunları kullanmak için sık sık ziyaret etmeniz gereken resmi proje web sitelerine yer işareti koymaktır.
Banshee Stealer, Apple Xprotect Şifreleme Algo'yu kullanarak Tespit Edilmiştir
Kötü niyetli reklamlar sahte captcha sayfaları aracılığıyla lumma infostealer'ı itiyor
Bir toplantı uygulaması olarak poz veren kripto yöneten kötü amaçlı yazılımlar Web3 profesyonellerini hedefliyor
Github'da sahte ldapnightmware istismar
Yanlış kötü amaçlı yazılım uyarısı nedeniyle Mac'lerde bloke edilen docker masaüstü
Kaynak: Bleeping Computer