Поделиться
Под видом рекламы проекта Open Source пользователям macOS и Linux загружается троян, ворующий 50 видов криптовалюты
Пользователей через Google Ads заманивали на поддельный сайт популярного проекта Homebrew, где под видом его инсталлятора им сгружали вредонос. Тот был способен выкрасть до 50 разновидностей криптовалют.
Установите себе вредонос самостоятельно
Пользователям систем под управлением macOS и Linux угрожает новая кампания, операторы которой используют инфостилер AmosStealer/Atomic. Эта вредоносная программа крадет реквизиты доступа к различным ресурсам, данные браузеров и содержимое криптовалютных кошельков.
Злоумышленники используют рекламные объявления в Google для продвижения поддельного сайта, имитирующего официальную страницу популярного опенсорсного менеджера пакетов Homebrew. Настоящий Homebrew предназначен для установки, обновления и управления программным обеспечением через командную строку.
Как обнаружил эксперт по информационной безопасности Райан Ченки (Ryan Chenkie), в мошеннических рекламных объявлениях указан реальный адрес Homebrew - brew.sh, однако на деле баннер ведет на сайт brewe.sh, чей URL отличается от оригинального на одну букву. Поддельный сайт внешне неотличим от оригинала и пользователю сразу предлагается установить Homebrew, скопировав соответствующую команду в терминал macOS или шелл-оболочку Linux. Оригинальный сайт Homebrew предлагает такую же функцию. Но, естественно, потенциальной жертве загружается не Homebrew, а вредоносная программа.
Широко загребая по двору
Как установил исследователь JAMESWT, речь идет об AmosStealer (он же Atomic) – многофункциональном инфостилере, который способен выводить более 50 различных криптовалют из пользовательских кошельков, а также красть данные, хранящиеся в веб-браузерах.
Разработчики подлинного Homebrew в курсе происходящего: лидер проекта Майк Маккуэйд (Mark McQuaid) написал, что он и его команда в данной ситуации могут сделать очень немногое. «Это происходит снова и снова, и, кажется, Google не прочь брать деньги от мошенников», – написал Куэйд, призвав надавить на Google, чтобы он решил проблему в корне.
По состоянию на 21 января вредоносная кампания была остановлена – по крайней мере, баннеры, распространявшиеся злоумышленниками, были удалены из систем Google. Однако, как пишет издание Bleeping Computer, злоумышленники могут воспользоваться другими доменами для редиректа, так что пользователям Homebrew необходимо соблюдать осторожность и с подозрениям относиться к рекламным объявлениям от имени проекта.
«К сожалению, в текущих обстоятельствах необходимо с вниманием и подозрением относиться к любым рекламным объявлениям, а к коммерческой рекламе открытого ПО относиться с позиции «презумпции виновности», – говорит Никита Павлов, эксперт по информационной безопасности компании SEQ.
Эксперт добавил, что пользующиеся большой популярностью опенсорсные пакеты едва ли нуждаются в продвижении через Google Ads, и появление таких объявлений с высокой долей вероятности указывают на попытки мошенничества.
Поделиться
Короткая ссылка
