Bilgisayar korsanları, kimlik bilgilerini, tarayıcı verilerini ve kripto para birimi cüzdanlarını çalan bir bilgi hırsızını Mac’lere ve Linux cihazlarına bulaştırmak için sahte bir Homebrew web sitesi kullanarak kötü amaçlı yazılım yaymak için bir kez daha Google reklamlarını kötüye kullanıyor.
Kötü amaçlı Google reklam kampanyası, X’i kötü amaçlı yazılım bulaşma riski konusunda uyaran Ryan Chenkie tarafından fark edildi.
Bu kampanyada kullanılan kötü amaçlı yazılım, macOS sistemleri için tasarlanmış ve siber suçlulara aylık 1.000 ABD Doları tutarında bir abonelik olarak satılan bir bilgi hırsızı olan AmosStealer’dır (aka ‘Atomic’).
Kötü amaçlı yazılım, yakın zamanda sahte Google Meet konferans sayfalarını tanıtan diğer kötü amaçlı reklam kampanyalarında da görüldü ve şu anda Apple kullanıcılarını hedef alan siber suçluların başvurduğu hırsız yazılımdır.
Homebrew kullanıcılarını hedefleme
Homebrew, macOS ve Linux için popüler bir açık kaynaklı paket yöneticisidir ve kullanıcıların yazılımı komut satırından yüklemesine, güncellemesine ve yönetmesine olanak tanır.
Kötü amaçlı bir Google reklamı, doğru Homebrew URL’si olan “brew.sh”yi görüntüleyerek tanıdık kullanıcıları bile bu URL’ye tıklamaları için kandırdı. Ancak reklam onları “brewe.sh” adresinde barındırılan sahte bir Homebrew sitesine yönlendirdi.
Kötü amaçlı reklamverenler, kullanıcıları bir proje veya kuruluş için meşru görünen web sitesine tıklamaları için kandırmak amacıyla bu URL tekniğini yaygın olarak kullandı.
Siteye ulaştıktan sonra ziyaretçiden, macOS Terminalinde veya Linux kabuk isteminde gösterilen bir komutu yapıştırarak Homebrew’u yüklemesi istenir. Meşru Homebrew sitesi, meşru yazılımı yüklemek için yürütülecek benzer bir komut sağlar.
Ancak sahte web sitesi tarafından gösterilen komut çalıştırıldığında, cihaza kötü amaçlı yazılım indirilecek ve çalıştırılacaktır.
Güvenlik araştırmacısı JAMESWT, bu durumda kötü amaçlı yazılımın düştüğünü tespit etti [VirusTotal] 50’den fazla kripto para birimi uzantısını, masaüstü cüzdanlarını ve web tarayıcılarında depolanan verileri hedefleyen güçlü bir bilgi hırsızı olan Amos’tur.
Homebrew’un proje lideri Mike McQuaid, projenin durumun farkında olduğunu ancak durumun kendi kontrolü dışında olduğunun altını çizerek Google’ı yeterince inceleme yapmadığı için eleştirdi.
McQuaid, “Mac Homebrew Proje Lideri burada. Bu artık kaldırılmış gibi görünüyor” diye tweet attı.
“Bu konuda gerçekten yapabileceğimiz çok az şey var; bu durum tekrar tekrar yaşanıyor ve Google dolandırıcılardan para almaktan hoşlanıyor gibi görünüyor. Lütfen bunun sinyalini artırın ve umarım Google’dan birileri bunu tamamen düzeltir.”
Bu yazının yazıldığı sırada, kötü amaçlı reklam kaldırıldı ancak kampanya diğer yönlendirme alanları aracılığıyla devam edebilir, bu nedenle Homebrew kullanıcılarının projeye yönelik sponsorlu reklamlara karşı dikkatli olmaları gerekir.
Ne yazık ki kötü amaçlı reklamlar, çeşitli arama terimleri için Google Arama sonuçlarında, hatta Google Ads’ün kendisi için bile sorun olmaya devam ediyor.
Bu kampanyada tehdit aktörleri, hesaplarını çalmak ve meşru ve doğrulanmış kuruluşlar kisvesi altında kötü amaçlı kampanyalar yürütmek için Google reklamverenlerini hedef aldı.
Kötü amaçlı yazılım bulaşma riskini en aza indirmek için, Google’daki bir bağlantıya tıkladığınızda, hassas bilgileri girmeden veya yazılım indirmeden önce bir projenin veya şirketin meşru sitesine yönlendirildiğinizden emin olun.
Başka bir güvenli yöntem, yazılım tedarik etmek için sık sık ziyaret etmeniz gereken resmi proje web sitelerine yer işareti koymak ve her seferinde çevrimiçi arama yapmak yerine bunları kullanmaktır.