Peretas sekali lagi menyalahgunakan iklan Google untuk menyebarkan malware, menggunakan situs web Homebrew palsu untuk menginfeksi perangkat Mac dan Linux dengan pencuri info yang mencuri kredensial, data browser, dan dompet mata uang kripto.
Kampanye iklan Google yang berbahaya adalah ditemukan oleh Ryan Chenkieyang memperingatkan di X tentang risiko infeksi malware.
Malware yang digunakan dalam kampanye ini adalah AmosStealer (alias ‘Atomic’), sebuah infostealer yang dirancang untuk sistem macOS dan dijual kepada penjahat cyber dengan berlangganan $1.000/bulan.
Malware tersebut terlihat baru-baru ini dalam promosi kampanye malvertising lainnya halaman konferensi Google Meet palsu dan saat ini menjadi sasaran utama penjahat dunia maya yang menargetkan pengguna Apple.
Menargetkan pengguna Homebrew
Homebrew adalah pengelola paket sumber terbuka populer untuk macOS dan Linux, memungkinkan pengguna menginstal, memperbarui, dan mengelola perangkat lunak dari baris perintah.
Iklan Google yang berbahaya menampilkan URL Homebrew yang benar, “brew.sh”, bahkan menipu pengguna yang sudah dikenal agar mengkliknya. Namun, iklan tersebut mengarahkan mereka ke situs Homebrew palsu yang dihosting di “brewe.sh”.
Malvertiser punya banyak digunakan teknik URL ini untuk mengelabui pengguna agar mengeklik situs web yang tampaknya sah untuk suatu proyek atau organisasi.
Setelah mencapai situs tersebut, pengunjung diminta untuk menginstal Homebrew dengan menempelkan perintah yang ditampilkan di Terminal macOS atau prompt shell Linux. Situs Homebrew yang sah menyediakan perintah serupa untuk dijalankan guna menginstal perangkat lunak yang sah.
Namun, ketika menjalankan perintah yang ditunjukkan oleh situs palsu, ia akan mengunduh dan mengeksekusi malware di perangkat.
Peneliti keamanan JAMESWT menemukan bahwa malware tersebut hilang dalam kasus ini[[Total Virus]adalah Amos, seorang pencuri informasi yang kuat menargetkan lebih dari 50 ekstensi mata uang kriptodompet desktop, dan data yang disimpan di browser web.
Pemimpin proyek Homebrew, Mike McQuaid, menyatakan bahwa proyek tersebut menyadari situasi tersebut tetapi menekankan bahwa hal tersebut di luar kendalinya, dan mengkritik Google karena kurangnya pengawasan.
“Pemimpin Proyek Mac Homebrew di sini. Tampaknya ini sudah dihapus sekarang,” tweet McQuaid.
“Tidak banyak yang bisa kami lakukan mengenai hal ini, hal ini terus terjadi berulang kali dan Google sepertinya suka mengambil uang dari para penipu. Tolong tingkatkan sinyal ini dan semoga seseorang di Google akan memperbaikinya selamanya.”
Pada saat penulisan, iklan berbahaya tersebut telah dihapus, namun kampanye dapat dilanjutkan melalui domain pengalihan lainnya, sehingga pengguna Homebrew harus waspada terhadap iklan bersponsor untuk proyek tersebut.
Sayangnya, iklan berbahaya terus menjadi masalah di hasil Google Penelusuran untuk berbagai istilah penelusuran, bahkan untuk Google Ads itu sendiri.
Dalam kampanye tersebut, pelaku ancaman menargetkan pengiklan Google untuk mencuri akun mereka dan menjalankan kampanye jahat dengan menyamar sebagai entitas yang sah dan terverifikasi.
Untuk meminimalkan risiko infeksi malware, setiap kali mengeklik tautan di Google, pastikan Anda diarahkan ke situs resmi suatu proyek atau perusahaan sebelum memasukkan informasi sensitif atau mengunduh perangkat lunak.
Metode aman lainnya adalah dengan menandai situs web proyek resmi yang perlu sering Anda kunjungi untuk mencari perangkat lunak dan menggunakannya daripada mencari secara online setiap saat.
