黑客再次滥用谷歌广告传播恶意软件，他们利用一个虚假的 Homebrew 网站向 Mac 和 Linux 设备发送信息窃取程序，窃取凭证、浏览器数据和加密货币钱包。

Ryan Chenkie 发现了这一恶意 Google 广告活动，并在 X 上发出了关于恶意软件感染风险的警告。

此次活动中使用的恶意软件是 AmosStealer（又名 “Atomic”），这是一款专为 macOS 系统设计的信息窃取软件，以每月 1000 美元的订阅费出售给网络犯罪分子。

该恶意软件最近出现在其他恶意广告活动中，宣传虚假的 Google Meet 会议页面，目前是网络犯罪分子针对苹果用户的首选窃取工具。

针对自制软件用户

Homebrew 是 MacOS 和 Linux 上流行的开源软件包管理器，允许用户通过命令行安装、更新和管理软件。

谷歌的一个恶意广告显示了正确的 Homebrew URL “brew.sh”，甚至诱骗熟悉的用户点击它。然而，该广告却将他们重定向到一个托管在 “brewe.sh ”的虚假 Homebrew 网站。

恶意广告商广泛使用这种 URL 技术，诱骗用户点击看似合法的项目或组织网站。

恶意谷歌搜索结果
来源：@ryanchenkie

到达网站后，访问者会被提示通过粘贴显示在 macOS 终端或 Linux shell 提示符中的命令来安装 Homebrew。合法的 Homebrew 网站也提供了类似的命令来安装合法软件。

但是，当运行假冒网站显示的命令时，它会在设备上下载并执行恶意软件。

伪造的 Homebrew 网站
来源：@ryanchenkie

安全研究员 JAMESWT 发现，在此案例 [VirusTotal] 中掉落的恶意软件是 Amos，它是一款功能强大的信息窃取软件，目标是 50 多种加密货币扩展、桌面钱包和存储在网络浏览器上的数据。

Homebrew 项目负责人迈克-麦奎德（Mike McQuaid）表示，该项目已经意识到这一情况，但强调这超出了其控制范围，并批评谷歌缺乏审查。

“Mac Homebrew 项目负责人在此。这似乎已经被删除了，”麦奎德在推特上写道。

麦奎德在推特上写道：“我们对此真的无能为力，这样的事情一再发生，而谷歌似乎很喜欢收骗子的钱。请将此信号提升，希望谷歌有人能永远解决这个问题。”

在撰写本文时，该恶意广告已被撤下，但该活动可能会通过其他重定向域继续进行，因此 Homebrew 用户需要警惕该项目的赞助广告。

不幸的是，恶意广告仍然是谷歌搜索结果中各种搜索词的一个问题，甚至是谷歌广告本身。

在该活动中，威胁分子以谷歌广告商为目标，窃取他们的账户，并打着合法和经过验证的实体的幌子运行恶意活动。

为了将感染恶意软件的风险降到最低，无论何时点击谷歌链接，在输入敏感信息或下载软件之前，请确保您被带到了项目或公司的合法网站。

另一个安全的方法是将您需要经常访问的项目官方网站加入书签，以便采购软件，并使用这些网站，而不是每次都上网搜索。

文章原文链接:https://www.anquanke.com/post/id/303710