Les pirates informatiques abusent à nouveau des publicités Google pour propager des logiciels malveillants, en utilisant un faux site Web Homebrew pour infecter les appareils Mac et Linux avec un infostealer qui vole les informations d’identification, les données du navigateur et les portefeuilles de crypto-monnaie.
La campagne Google Ads malveillante a été repérée par Ryan Chenkie, qui a averti sur X du risque d’infection par un logiciel malveillant.
Le malware utilisé dans cette campagne est AmosStealer (alias « Atomic »), un infostealer conçu pour les systèmes macOS et vendu aux cybercriminels sous forme d’abonnement de 1 000/ / mois.
Le malware a été vu récemment dans d’autres campagnes de publicité malveillante faisant la promotion de fausses pages de conférence Google Meet et est actuellement le voleur incontournable pour les cybercriminels ciblant les utilisateurs d’Apple.
Cibler les utilisateurs Homebrew
Homebrew est un gestionnaire de paquets open source populaire pour macOS et Linux, permettant aux utilisateurs d’installer, de mettre à jour et de gérer des logiciels à partir de la ligne de commande.
Une publicité Google malveillante affichait l’URL Homebrew correcte, » brew.sh, » incitant même des utilisateurs familiers à cliquer dessus. Cependant, l’annonce les a redirigés vers un faux site Homebrew hébergé sur « brewe.sh » au lieu de cela.
Les annonceurs malveillants ont largement utilisé cette technique d’URL pour inciter les utilisateurs à cliquer sur ce qui semble être le site Web légitime d’un projet ou d’une organisation.
En arrivant sur le site, le visiteur est invité à installer Homebrew en collant une commande affichée dans le terminal macOS ou une invite de shell Linux. Le site Homebrew légitime fournit une commande similaire à exécuter pour installer le logiciel légitime.
Cependant, lors de l’exécution de la commande affichée par le faux site Web, il téléchargera et exécutera des logiciels malveillants sur l’appareil.
Le chercheur en sécurité JAMESWT a découvert que le malware abandonné dans ce cas [VirusTotal] est Amos, un puissant infostealer qui cible plus de 50 extensions de crypto-monnaie, portefeuilles de bureau et données stockées sur les navigateurs Web.
Le chef de projet de Homebrew, Mike McQuaid, a déclaré que le projet était au courant de la situation mais a souligné que cela échappait à son contrôle, critiquant Google pour son manque d’examen minutieux.
« Chef de projet Mac Homebrew ici. Cela semble supprimé maintenant », a tweeté McQuaid.
« Nous ne pouvons vraiment pas faire grand-chose à ce sujet, cela se produit encore et encore et Google semble aimer prendre de l’argent aux escrocs. Veuillez signaler cela et j’espère que quelqu’un chez Google résoudra cela pour de bon. »
Au moment de la rédaction de cet article, l’annonce malveillante a été supprimée, mais la campagne pourrait se poursuivre via d’autres domaines de redirection, de sorte que les utilisateurs Homebrew doivent se méfier des annonces sponsorisées pour le projet.
Malheureusement, les publicités malveillantes continuent d’être un problème dans les résultats de recherche Google pour divers termes de recherche, même pour Google Ads lui-même.
Dans cette campagne, les acteurs de la menace ciblaient les annonceurs Google pour voler leurs comptes et lancer des campagnes malveillantes sous le couvert d’entités légitimes et vérifiées.
Pour minimiser le risque d’infection par un logiciel malveillant, chaque fois que vous cliquez sur un lien dans Google, assurez-vous d’être dirigé vers le site légitime d’un projet ou d’une entreprise avant de saisir des informations sensibles ou de télécharger un logiciel.
Une autre méthode sûre consiste à mettre en signet les sites Web officiels du projet que vous devez visiter souvent pour trouver des logiciels et à les utiliser au lieu de rechercher en ligne à chaque fois.