黑客利用 Google 广告通过虚假自制网站传播恶意软件

网络犯罪分子利用 Google 广告将 Mac 和 Linux 用户引导至带有信息窃取程序的虚假 Homebrew 网站，从而传播恶意软件。

该恶意软件活动旨在窃取敏感信息，包括凭据、浏览器数据和加密货币钱包。

安全专家 Ryan Chenkie 发现了相关信息窃取程序 AmosStealer（或 Atomic），并发出了警报在X上关于此活动及其潜在风险。

该信息窃取程序专为 macOS 系统量身定制，以每月 1,000 美元的订阅价格出售给网络犯罪分子。

对于那些不知道的人来说，Homebrew 是一个免费的开源软件包管理系统，可以简化 Apple 操作系统、macOS 和 Linux 上的软件安装。

然而，它最近已成为宣传虚假 Google Meet 页面的恶意广告活动的焦点。

黑客使用欺骗性的 Google 广告显示合法的 Homebrew URL“brew.sh”，欺骗毫无戒心的用户点击它。

然后，它将用户重定向到一个托管在“brewe.sh”的虚假网站，该网站模仿真实网站。它指示访问者通过在终端中运行命令或来自虚假网站的 Linux shell 提示符来安装 Homebrew，该网站在执行时会在设备上安装恶意软件而不是合法软件。

安全研究人员 JAMESWT 确定本案中投放的恶意软件为 Amos，这是一种强大的信息窃取程序，能够针对 50 多种加密货币扩展、桌面钱包和网络浏览器数据。

Homebrew 的项目负责人 Mike McQuaid 承认了这个问题，并对 Google 无法阻止这些骗局表示失望。

“现在看来这已经被取消了。但这种情况一再发生，谷歌似乎优先考虑从诈骗者那里获得收入。请广泛分享，以便谷歌能够永久解决这个问题。”麦克奎德发推文。

尽管恶意广告已被删除，但威胁仍然存在，因为黑客可以使用其他重定向域来继续他们的活动。

建议 Homebrew 用户在点击 Google 赞助的广告时务必小心，并在下载软件或输入敏感信息之前验证他们正在访问项目或公司的官方网站。

为了保护自己免受潜在风险，用户应该将 Homebrew 等可信项目的官方网站添加为书签并直接访问。

他们还应该避免点击赞助广告来下载软件，并在继续之前仔细检查 URL 以确保它们与合法网站匹配。