يستغل المتسللون مرة أخرى إعلانات Google لنشر البرامج الضارة، باستخدام موقع Homebrew المزيف لإصابة أجهزة Mac وLinux بأداة سرقة المعلومات التي تسرق بيانات الاعتماد وبيانات المتصفح ومحافظ العملات المشفرة.
كانت حملة إعلانات Google الخبيثة”https://x.com/ryanchenkie/status/1880730173634699393″ الهدف=”_blank” rel=”nofollow noopener”> رصدها رايان تشينكي، الذي حذر على X من خطر الإصابة بالبرامج الضارة.
البرنامج الضار المستخدم في هذه الحملة هو AmosStealer (المعروف أيضًا باسم “Atomic”)، وهو برنامج سرقة معلومات مصمم لأنظمة macOS ويتم بيعه لمجرمي الإنترنت كاشتراك بقيمة 1000 دولار شهريًا.
وقد شوهدت البرامج الضارة مؤخرًا في حملات ترويج أخرى ضارة”https://www.bleepingcomputer.com/news/security/fake-google-meet-conference-errors-push-infostealing-malware/” الهدف=”_blank” rel=”nofollow noopener”>صفحات مؤتمرات Google Meet المزيفة وهو حاليًا أداة السرقة المفضلة لمجرمي الإنترنت الذين يستهدفون مستخدمي Apple.
استهداف مستخدمي البيرة المنزلية
Homebrew هو مدير حزم مشهور ومفتوح المصدر لنظامي التشغيل macOS وLinux، مما يسمح للمستخدمين بتثبيت البرامج وتحديثها وإدارتها من سطر الأوامر.
عرض إعلان Google ضار عنوان URL الصحيح لـ Homebrew، “brew.sh,” خداع حتى المستخدمين المألوفين للنقر عليه. ومع ذلك، أعاد الإعلان توجيههم إلى موقع Homebrew مزيف مستضاف على “brewe.sh” بدلاً من.
لدى المعلنين”https://www.bleepingcomputer.com/news/security/google-ads-push-fake-google-authenticator-site-installing-malware/” الهدف=”_blank” rel=”nofollow noopener”> تستخدم على نطاق واسع تقنية عنوان URL هذه لخداع المستخدمين للنقر فوق ما يبدو أنه موقع الويب الشرعي لمشروع أو مؤسسة.
عند الوصول إلى الموقع، يُطلب من الزائر تثبيت Homebrew عن طريق لصق أمر يظهر في macOS Terminal أو مطالبة Linux shell. يوفر موقع Homebrew الشرعي أمرًا مشابهًا للتنفيذ لتثبيت البرنامج الشرعي.
ومع ذلك، عند تشغيل الأمر الذي يظهره الموقع المزيف، سيقوم بتنزيل وتنفيذ برامج ضارة على الجهاز.
باحث أمني”https://x.com/JAMESWT_MHT/status/1881249774932005270″ الهدف=”_blank” rel=”nofollow noopener”> جيمس دبليو تي وجدت أن البرامج الضارة سقطت في هذه الحالة[[
صرح مايك ماكويد، رئيس مشروع Homebrew، أن المشروع على علم بالوضع لكنه أبرز أنه خارج عن سيطرته، منتقدًا Google بسبب افتقارها إلى التدقيق.
“Mac Homebrew Project Leader here. This seems taken down now,” غرد ماكويد.
“There’s little we can do about this really, it keeps happening again and again and Google seems to like taking money from scammers. Please signal-boost this and hopefully someone at Google will fix this for good.”
في وقت كتابة هذا التقرير، تمت إزالة الإعلان الضار، ولكن يمكن أن تستمر الحملة عبر نطاقات إعادة التوجيه الأخرى، لذلك يجب على مستخدمي Homebrew توخي الحذر من الإعلانات المدعومة للمشروع.
لسوء الحظ، لا تزال الإعلانات الضارة تمثل مشكلة في نتائج بحث Google لمختلف مصطلحات البحث،”https://www.bleepingcomputer.com/news/security/hackers-use-google-search-ads-to-steal-google-ads-accounts/” الهدف=”_blank” rel=”nofollow noopener”>حتى بالنسبة لبرنامج إعلانات Google نفسه.
في تلك الحملة، استهدفت جهات التهديد معلني Google لسرقة حساباتهم وتشغيل حملات ضارة تحت ستار كيانات شرعية وتم التحقق منها.
لتقليل مخاطر الإصابة بالبرامج الضارة، عند النقر فوق رابط في Google، تأكد من نقلك إلى الموقع الشرعي لمشروع أو شركة قبل إدخال معلومات حساسة أو تنزيل البرنامج.
هناك طريقة آمنة أخرى وهي وضع إشارة مرجعية على مواقع المشاريع الرسمية التي تحتاج إلى زيارتها كثيرًا للحصول على البرامج واستخدامها بدلاً من البحث عبر الإنترنت في كل مرة.